how-to:kerberos
Содержание
Kerberos
Типы шифрования
| Тип шифрования | Поддерживаемые ОС | Не поддерживаемые ОС |
|---|---|---|
| DES_CBC_CRC | XP, Vista, Server: 2000, 2003, 2008 | 7 +, Server: 2008 R2 + |
| DES_CBC_MD5 | XP, Vista, Server: 2000, 2003, 2008 | 7 +, Server: 2008 R2 + |
| RC4_HMAC_MD5 | XP +, Server: 2000 + | - |
| AES128_HMAC_SHA1 | Vista +, Server 2008 + | XP, Server: 2000, 2003 |
| AES256_HMAC_SHA1 | Vista +, Server 2008 + | XP, Server: 2000, 2003 |
ktpass.exe
Формат создания keytab утилитой:
ktpass.exe /princ имя_службы/fqdn.имя.хоста@ИСПОЛЬЗУЕМАЯ.ОБЛАСТЬ /mapuser учетная_запись_хоста$@ИСПОЛЬЗУЕМАЯ.ОБЛАСТЬ /crypto тип_шифрования /ptype ТИП_ПРИНЦИПАЛА /pass пароль_или_+rndpass /out C:\каталог\создаваемый_файл
http://www.k-max.name/windows/active-directory-as-kdc-nfsv4/
https://support.microsoft.com/ru-ru/kb/324144
klist
Проверить список принципалов:
klist -K -e -t -k web.keytab
kinit
Проверить keytab:
kinit -kV -p HTTP/d2proxy.domain.com -t proxy.keytab
setspn
Список SPN записей пользователя:
setspn -L DOMAIN\user
Проверить существование SPN (пример HTTP/it.domain.com):
setspn -Q HTTP/it.domain.com
Найти дубли SPN:
setspn -X
Типы принципалов
| Значение | Описание |
|---|---|
| KRB5_NT_PRINCIPAL | Общий ptype (рекомендованный) |
| KRB5_NT_SRV_INST | Экземпляр службы пользователя |
| KRB5_NT_SRV_HST | Экземпляр службы узла |
Ссылки
http://web.mit.edu/kerberos/www/krb5-1.13/doc/index.html - MIT Kerberos Documentation
https://blog.it-kb.ru/2017/03/24/how-to-create-keytab-file-with-additional-kerberos-service-principal-on-windows-server-and-linux/ - Создание keytab-файла, содержащего несколько разных Kerberos Principal
http://blogs.nologin.es/rickyepoderi/index.php?/archives/104-Two-Tips-about-Kerberos.html - Two Tips about Kerberos
how-to/kerberos.txt · Последнее изменение: — 127.0.0.1