Назад | Перейти на главную страницу

Windows Server 2003 -Ktpass - crypto: enum value 'rc4-hmac' неизвестно

Я пытаюсь создать keytab с помощью Ktpass на Windows Server 2003 с помощью:

Ktpass -princ host/prueba-mail.ejemplo.org@EJEMPLO.ORG -mapuser host -pass password -crypto rc4-hmac -out UNIXhost.keytab

Я получаю следующую ошибку:

crypto: enum value 'rc4-hmac' is not known.
Error: argument for option "crypto" must be one of the following values:
DES-CBC-CRC : for compatibility
DES-CBC-MD5 : default
Command line options:

---------------------most useful args
[- /]          out : Keytab to produce
[- /]        princ : Principal name (user@REALM)
[- /]         pass : password to use
                     use "*" to prompt for password.
---------------------less useful stuff
[- /]      mapuser : map princ (above) to this user account (default: don't)
[- /]        mapOp : how to set the mapping attribute (default: add it)
[- /]        mapOp :  is one of:
[- /]        mapOp :        add : add value (default)
[- /]        mapOp :        set : set value
[- +]      DesOnly : Set account for des-only encryption (default:do)
[- /]           in : Keytab to read/digest
---------------------options for key generation
[- /]       crypto : Cryptosystem to use
[- /]       crypto :  is one of:
[- /]       crypto : DES-CBC-CRC : for compatibility
[- /]       crypto : DES-CBC-MD5 : default
[- /]        ptype : principal type in question
[- /]        ptype :  is one of:
[- /]        ptype : KRB5_NT_PRINCIPAL : The general ptype-- recommended
[- /]        ptype : KRB5_NT_SRV_INST : user service instance
[- /]        ptype : KRB5_NT_SRV_HST : host service instance
[- /]         kvno : Override Key Version Number
                     Default: query DC for kvno.  Use /kvno 1 for Win2K compat.
[- +]       Answer : +Answer answers YES to prompts.  -Answer answers NO.
[- /]       Target : Which DC to use.  Default:detect

У меня два вопроса:

1) Я намерен добиться единого входа для пользователей Windows с помощью службы imap на Centos 6. Хотя вы можете использовать "-crypto rc4-hmac", также можно использовать DES-CBC-CRC или DES-CBC-MD5 ?. Я считаю, что у клиентов Windows есть все зашифрованные тикеты rc4-hmac, и это не позволяет вещам работать, и я подозреваю, что одна из моих проблем существует.

2) Есть способ разрешить Windows Server 2003, у вас может быть опция rc4-hmac ?.

Спасибо за любую помощь.

Я не уверен, что понимаю ваш первый вопрос, но если вас беспокоят клиенты Windows XP, они, безусловно, поддерживают RC4-HMAC ключи, но не более новые, основанные на AES.

Чтобы использовать зашифрованные ключи RC4-HMAC на вкладке ключей, вам необходимо установить пакет обновления 1. Как указано в сообщении об использовании после ошибки, ktpass в Windows Server 2003 поддерживаются только ключи с шифрованием DES. Обратите внимание, что KDC в Windows 2003 не поддерживает аутентификацию с RC4-HMAC без SP1 в соответствии с эта статья о совместимости Kerberos. Или же обновитесь до Windows Server 2008 или Windows 2008 R2, чтобы также иметь поддержку AES.

Стоимость криптоопциона для RC4-HMAC составляет RC4-HMAC-NT, хотя я бы рекомендовал использовать основанные на AES, если клиенты это поддерживают. RedHat имеет встроенную поддержку ключей AES, по крайней мере, с RHEL 5, поэтому я предполагаю, что CentOS 6 также имеет

Проверьте, какая версия средств поддержки для Microsoft Windows 2003 установлена. Возможно, у вас старая версия SP1, но вам нужен SP2.