Я хочу удалить все des
ключи от принципала ниже, но понятия не имею, как это сделать, не вводя пароль.
kadmin: getprinc user
Principal: user@EXAMPLE.COM
Expiration date: [never]
Last password change: Thu May 26 08:52:51 PDT 2013
Password expiration date: [none]
Maximum ticket life: 0 days 12:00:00
Maximum renewable life: 7 days 00:00:00
Last modified: Tue Jul 16 15:17:18 PDT 2013 (administrator/admin@EXAMPLE.COM)
Last successful authentication: Wed Jul 24 14:40:53 PDT 2013
Last failed authentication: [never]
Failed password attempts: 0
Number of keys: 8
Key: vno 3, aes256-cts-hmac-sha1-96, no salt
Key: vno 3, arcfour-hmac, no salt
Key: vno 3, des3-cbc-sha1, no salt
Key: vno 3, des-cbc-crc, no salt
Key: vno 3, des-cbc-md5, no salt
Key: vno 3, des-cbc-md5, Version 5 - No Realm
Key: vno 3, des-cbc-md5, Version 5 - Realm Only
Key: vno 3, des-cbc-md5, AFS version 3
MKey: vno 2
Attributes: REQUIRES_PRE_AUTH
Policy: [none]
Кроме того, kdc
использует OpenLDAP
бэкэнд.
Я не думаю, что есть какой-то простой способ сделать это с помощью кода kerberos MIT. С heimdal это тривиально, поскольку del_enctype - одна из команд kadmin.
Насколько мне известно, единственный способ сделать это со стандартным MIT - это сбросить базу данных kdc, удалить неправильные типы ключей и перезагрузить базу данных. Поскольку ваше внутреннее хранилище - это OpenLdap, если у вас есть доступ к корневому DNS-серверу ldap, вы можете найти отдельные значения ключей в базе данных ldap и удалить их.
Схема указана здесь
http://k5wiki.kerberos.org/wiki/Kerberos.schema
Мне не ясно, можно ли определить тип этого без дешифрования с помощью мастер-ключа.
attributetype ( 2.16.840.1.113719.1.301.4.39.1
NAME 'krbPrincipalKey'
EQUALITY octetStringMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.40)