Файл ключей Kerberos содержит несколько записей
Я пытаюсь аутентифицировать пользователя для моего сервиса, используя Kerberos. Я прикрепил SPN к пользователю, используя setspn -s HTTP/<hostname> <Username>,
Затем я использовал команду ktpass для указанного пользователя, подключенного к SPN. Но сгенерированный файл keytab содержит несколько записей, похоже, создается несколько ключей.
В чем может быть проблема здесь?
Вот вывод команды ktpass:
Ключ создан.
Ключ создан.
Ключ создан.
Ключ создан.
Ключ создан.
Выведите keytab в c:\tomcat.keytab:
Версия Keytab: 0x502
keysize 63 HTTP/punedvit2.sca.avaya.com@GSC.COM ptype 0 (KRB5_NT_UNKNOWN) vno 0 etype 0x1 (DES-CBC-CRC) keylength 8 (0xfda423cebf7c97ea)
keysize 63 HTTP/punedvit2.sca.avaya.com@GSC.COM ptype 0 (KRB5_NT_UNKNOWN) vno 0 etype 0x3 (DES-CBC-MD5) keylength 8 (0xfda423cebf7c97ea)
keysize 71 HTTP/punedvit2.sca.avaya.com@GSC.COM ptype 0 (KRB5_NT_UNKNOWN) vno 0 etype 0x17 (RC4-HMAC) keylength 16 (0x85a6dea042798a45a547f8450e1115fc)
keysize 87 HTTP/punedvit2.sca.avaya.com@GSC.COM ptype 0 (KRB5_NT_UNKNOWN) vno 0 etype 0x12 (AES256-SHA1) keylength 32 (0x391f59100fbe0ef1833c141ce3caffa69d3582022fb31643d1b4389f62e32c94)
keysize 71 HTTP/punedvit2.sca.avaya.com@GSC.COM ptype 0 (KRB5_NT_UNKNOWN) vno 0 etype 0x11 (AES128-SHA1) keylength 16 (0x4c37bdfdf11b98cd360c332976b5c7bc)
1 ответ
Keytab позволяет серверу открыть билет Kerberos. Этот билет поставляется в зашифрованном виде по одному из многих алгоритмов (encTypes). Сервер ищет в таблице ключей для записи в этом encType. Мы хотим поддерживать все encTypes, которые можно использовать в домене. Для каждого есть одна запись в Keytab.
Соответствующая ключевая таблица содержит 5 записей для основного HTTP/punedvit2.sca.avaya.com@GSC.COM, упорядоченных по силе / безопасности: AES256, AES128, RC4 и два DES. Текущий стандарт в Active Directory - AES (256 или 128 бит). RC4 по-прежнему популярен. DES легко сломать, и по умолчанию он больше не включен.