Kerberos ktutil, ¿qué tipos de cifrado hay disponibles?
9
Estoy intentando hacer una tabla de teclas usando ktutil. Puedo elegir el tipo de cifrado, pero la ktutilpágina del manual no ofrece una lista de posibles opciones. ¡Tampoco sé qué método de cifrado es el mejor! ¿Cómo puedo encontrar ambos? Quiero el cifrado más fuerte disponible.
La solución ktutil proporcionada por 84104 es correcta si está intentando crear una tabla de claves para un servicio. Es una idea terrible para una tabla de teclas que desea utilizar para un proceso automatizado, ya que aleatorizará la contraseña y hará que la cuenta sea inutilizable sin la tabla de teclas.
Si está utilizando la tabla de claves como un almacén de contraseñas para alimentar a kinit para automatizar un proceso, le sugiero que use cualquier tipo de entrada que obtenga cuando ejecute kinit usando una contraseña.
klist -e
enumerará un montón de cosas que la línea que quieres es esta. Use el tipo que aparece con ktutil.
Tenga en cuenta que este uso de ktutil es exactamente el mismo que almacenar su contraseña en un archivo de texto claro, cualquiera que pueda leer la tabla de claves puede suplantar su identidad al sistema. Además, estos comandos son la versión MIT, heimdal ktutil y klist son algo diferentes (Heimdal es la versión kerberos utilizada en versiones recientes de OS X)
Y a pesar de querer usar el cifrado más seguro, asegúrese de que solo esté usando un cifrado tan fuerte como su servidor Kerberos admite y está configurado para aceptar.
Ryan Bolger
3
No lo use a ktutilmenos que esté intentando crear una tabla de teclas a partir de una tabla de teclas existente. Usar en su kadminlugar.
# kadmin -p user/admin
Password for user/[email protected]:
kadmin: add_principal -randkey service/server.example.com
WARNING: no policy specified for service/[email protected]; defaulting to no policy
Principal "service/[email protected]" created.
kadmin: ktadd -k /etc/service/service.keytab service/server.example.com
Entry for principal service/server.example.com with kvno 2, encryption type aes256-cts-hmac-sha1-96 added to keytab
Entry for principal service/server.example.com with kvno 2, encryption type camellia256-cts-cmac added to keytab
kadmin: quit
Dependiendo de sus kdc, kdc.confpuede terminar con un cifrado diferente: tipos de sal. La lista predeterminada es:
Me autentico en un servidor de Active Directory de Windows y no es posible usar kadmin.
Dylan Klomparens
"No use ktutil a menos que esté tratando de hacer una tabla de teclas a partir de una tabla de teclas existente. Utilice kadmin en su lugar". - ¿aclararías por qué? ¿Es solo para asegurarse de que también se creen los nombres principales?
Samuel Harmer
@ Styne666 El espacio de teclas de -randkey es mayor que el espacio de teclas de todas las teclas que se pueden escribir.
No lo use a
ktutil
menos que esté intentando crear una tabla de teclas a partir de una tabla de teclas existente. Usar en sukadmin
lugar.Dependiendo de sus kdc,
kdc.conf
puede terminar con un cifrado diferente: tipos de sal. La lista predeterminada es:También puede limitar (o expandir) los enctypes utilizados en la tabla de claves al crearla utilizando
-e
y especificando los tipos deseados.Si está intentando crear una tabla de teclas a partir de una tabla de teclas existente:
fuente