Pull to refresh

Comments 2

> addent -password -p $cn@DOMAIN.LOCAL -k 1 -e rc4-hmac

А почему не AES?
Причин достаточно:

Во-первых, rc4-hmac входит в MIT Kerberos defaults:
web.mit.edu/kerberos/krb5-devel/doc/mitK5defaults.html

Во-вторых, этот алгоритм не считается слабым:
web.mit.edu/kerberos/krb5-1.12/doc/admin/conf_files/kdc_conf.html#encryption-types

В-третьих, этот алгоритм поддерживается всеми ОС от Microsoft:
technet.microsoft.com/en-us/library/jj852180.aspx
RC4_HMAC_MD5
Supported in Windows 2000 Server, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2.

В-четвертых, у Microsoft есть некоторые проблемы при использовании AES:
support.microsoft.com/en-us/kb/961302
Vista and Windows Server 2008 clients are unable to access cluster names with AES-encrypted Kerberos tickets
AES encryption cannot be used for Kerberos negotiation with cluster names; only up to RC4-HMAC is supported.

В-пятых, тот алгоритм подойдет в т.ч. для клиентов, использующих Samba3:
web.mit.edu/samba/swat/help/Samba3-ByExample/upgrades.html
IT kerberos 1.3.1 supports the ARCFOUR-HMAC-MD5 encryption type which is necessary for servers on which the administrator password has not been changed, or kerberos-enabled SMB connections to servers that require Kerberos SMB signing. Besides this one difference, either MIT or Heimdal Kerberos distributions are usable by Samba 3.0.
Да и в Samba4 с поддержкой AES пока не все гладко. Подробности можно поискать на lists.samba.org
Sign up to leave a comment.

Articles