Мы запускаем KDC в OS X 10.10 Yosemite, в который мы добавили принципала службы для удаленного доступа к (устаревшему) хосту:
$ kadmin add -r host/a.b.c.d@REALM
Поскольку хост поддерживает только des-cbc-crc После шифрования ключа мы попытались (безуспешно) добавить следующее:
$ kadmin add_enctype -r host/a.b.c.d@REALM des-cbc-crc
kadmin: bad enctype "des-cbc-crc"
Думая, что DES (вполне разумно) отключен по умолчанию, мы попытались разместить allow_weak_crypto=true в [libdefaults] раздел /var/db/krb5kdc/kdc.conf и перезапуск kdc процесс, но безрезультатно.
Было потрачено много часов на возню, но это не принесло плодов. Конечно, Apple не скомпилировала Kerberos без любой поддержка DES? Как решить эту проблему?
Неужели Apple не скомпилировала Kerberos без поддержки DES?
Ну, вообще-то, похоже, они сделали это в 10.10 / Йосемити. И после того беспорядка, который они устроили с Kerberos в 10.07 / Lion ... примите мои искренние соболезнования.
А вот еще источник, который содержит удобная ссылка на обновление старых серверов до современных криптоалгоритмов.