web-dev-qa-db-ja.com

Apple KDCでDES暗号化キーを有効にするにはどうすればよいですか?

OS X 10.10 YosemiteでKDCを実行しています。これに、(レガシー)ホストにリモートアクセスするためのサービスプリンシパルを追加しました。

$ kadmin add -r Host/a.b.c.d@REALM

ホストはdes-cbc-crcキー暗号化のみをサポートしているため、次にそれを追加しようとしました(失敗しました)。

$ kadmin add_enctype -r Host/a.b.c.d@REALM des-cbc-crc
kadmin: bad enctype "des-cbc-crc"

DESは(かなり賢明に)デフォルトで無効になっていると考えて、allow_weak_crypto=true[libdefaults]セクションに/var/db/krb5kdc/kdc.confを配置し、kdcプロセスですが、役に立ちません。

何時間もぶらぶらと過ごしてきましたが、実を結びませんでした。確かにApple DESのanyサポートなしでKerberosをコンパイルしていませんか?これをどのように解決しますか?

mac-osxkerberosmac-osx-serverheimdal
6
eggyal

確かにApple DESをサポートせずにKerberosをコンパイルしていませんか?

実は、10.10/Yosemiteでやったようです。そして、10.07/Lionで彼らがKerberosで作った混乱の後、あなたは私の心からの哀悼の意を表します。

Krb5-weak.confが実現しようとする機能は、Yosemite(10.10)以降のOS Xでは必要ありません。YosemiteのKerberosは1-DES暗号化タイプのサポートを削除し、したがってallow_weak_cryptoは何の効果もありません。 (ベータ版をテストし、Appleと話し合っているため、これを知っています。これが、AFSをrxkadするプロセスにある理由の1つです。

そしてここに別のソースがあります 、これには 古いレルムを最新の暗号化アルゴリズムにアップグレードするための便利なリンク が含まれています。

4
HopelessN00b