私は MIT Kerberos 1.6 を使用したクロスレルム認証に Windows Server 2008 と Windows Vista および 7 を使用していますが、ユーザーでログインしようとすると、KDC が次のように応答します:
(Wireshark 出力)
error_code: KRB5KDC_ERR_ETYPE_NOSUPP (14) ... 電子テキスト: BAD_ENCRYPTION_TYPE
KDC と互換性のある暗号化タイプの方法を変更する方法を知りたいです (XP クライアントを試しましたが、正常に動作しました)。
どうもありがとう!
答え1
Windows 7 テクニカル ライブラリから:Kerberos認証の変更
おそらく、Kerberos サーバーは Windows 7 ではデフォルトで無効になっている DES 暗号化を期待しています。これは主に AES に置き換えられました。リンク先の記事には、グループ ポリシーを使用して DES 暗号化を再度有効にする手順が記載されています。これは非常に簡単です。ただし、代わりに AES をサポートするように Kerberos 構成をアップグレードすることを検討する必要があります。
答え2
不正な暗号化エラーを返しているのはどちら側ですか? Windows 7 クライアントですか、それともサーバーですか?
また、試してみることは可能ですか?ケルベロス 1.7? これは約 1 か月前に MIT からリリースされたもので、弱い暗号を無効にするための新しい構成可能な暗号化設定がいくつかあります。