ktutil
を使用してキータブを作成しようとしています。暗号化の種類を選択できるようになりましたが、ktutil
のマニュアルページには、可能な選択肢のリストがありません。また、どの暗号化方式が最適かわかりません。これらの両方をどのようにして見つけることができますか?利用可能な最も強力な暗号化が必要です。
$ ktutil
> add_entry -password -p [email protected] -k 1 -e [what goes here?!]
84104が提供するktutilソリューションは、サービスのキータブを作成しようとしている場合に適切です。パスワードをランダム化し、keytabがないとアカウントを使用できなくなるため、いくつかの自動化プロセスに使用したいkeytabはひどい考えです。
キータブをパスワードストアとして使用してkinitにフィードし、プロセスを自動化している場合は、パスワードを使用してkinitを実行したときに取得するenctypeを使用することをお勧めします。
klist -e
あなたが望む行がこれであるものの束をリストアップします。 ktutilでリストされているetypeを使用します。
Etype (skey, tkt): aes256-cts-hmac-sha1-96, aes256-cts-hmac-sha1-96
警告してください。このktutilの使用は、パスワードをクリアテキストファイルに保存することとまったく同じです。keytabを読み取ることができる誰でも、システムにあなたのIDを偽装することができます。また、これらのコマンドは、MITバージョン、heimdal ktutilおよびklistは多少異なります。(Heimdalは、OS Xの最近のバージョンで使用されているkerberosバージョンです)
既存のキータブからキータブを作成しようとしているのでない限り、ktutil
を使用しないでください。代わりにkadmin
を使用してください。
# kadmin -p user/admin
Password for user/[email protected]:
kadmin: add_principal -randkey service/server.example.com
WARNING: no policy specified for service/[email protected]; defaulting to no policy
Principal "service/[email protected]" created.
kadmin: ktadd -k /etc/service/service.keytab service/server.example.com
Entry for principal service/server.example.com with kvno 2, encryption type aes256-cts-hmac-sha1-96 added to keytab
Entry for principal service/server.example.com with kvno 2, encryption type camellia256-cts-cmac added to keytab
kadmin: quit
Kdcのkdc.conf
に応じて、暗号化:塩の種類が異なる場合があります。デフォルトのリストは次のとおりです。
aes256-cts-hmac-sha1-96:normal
aes128-cts-hmac-sha1-96:normal
des3-cbc-sha1:normal
arc‐four-hmac-md5:normal
-e
を使用して目的のタイプを指定することにより、キータブを作成するときにキータブで使用されるenctypeを制限(または拡張)することもできます。
既存のキータブからキータブを作成しようとしている場合:
# kutil
ktutil: read_kt /etc/krb5.keytab
ktutil: l -e
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
1 6 Host/[email protected] (aes256-cts-hmac-sha1-96)
2 6 Host/[email protected] (camellia256-cts-cmac)
3 3 HTTP/[email protected] (aes256-cts-hmac-sha1-96)
4 3 HTTP/[email protected] (camellia256-cts-cmac)
ktutil: delete_entry 1
ktutil: l -e
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
1 6 Host/[email protected] (camellia256-cts-cmac)
2 3 HTTP/[email protected] (aes256-cts-hmac-sha1-96)
3 3 HTTP/[email protected] (camellia256-cts-cmac)
ktutil: delete_entry 1
ktutil: l -e
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
1 3 HTTP/[email protected] (aes256-cts-hmac-sha1-96)
2 3 HTTP/[email protected] (camellia256-cts-cmac)
ktutil: write_kt /etc/httpd/http.keytab
ktutil: quit
# klist -ke /etc/httpd/http.keytab
Keytab name: FILE:/etc/httpd/http.keytab
KVNO Principal
---- ---------------------------------------------------------------------
3 HTTP/[email protected] (aes256-cts-hmac-sha1-96)
3 HTTP/[email protected] (camellia256-cts-cmac)
私がしなければなりませんでした
add_entry -password -p [email protected] -k 1 -e arcfour-hmac
write_kt keytab
vASに付属のkinitを使用する場合。注意arcfour-hmac
その後
kinit -kt keytab [email protected]
魅力のように動作します。