Ich habe ein einfaches MS ADDS Multi-Domain-Forest-Setup mit einer übergeordneten Domäne und einer Subdomäne. Ich habe einen RHEL 8-Server erfolgreich mit der Subdomäne verbunden, indem ichdiese offizielle Dokumentation. Alle Betriebssysteme wurden mit möglichst vielen Standardeinstellungen eingerichtet. Ich kann mich erfolgreich per SSH mit dem RHEL-Server verbinden, indem ich ein AD-Konto der Subdomäne verwende. Aber wenn ich versuche, ein Konto der übergeordneten Domäne zu verwenden, schlägt die Anmeldung fehl. Sobald ich den Benutzernamen der übergeordneten Domäne eingebe, journalctl
wird der folgende Fehler gemeldet:
sssd_be[...]: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (KDC has no support for encryption type)
Ich habe die DCs jeder Domäne überprüft und kann bestätigen, dass alle DCs dieselben drei Standardverschlüsselungstypen unterstützen (die im msDS-SupportedEncryptionTypes
Attribut jedes DC-Computerkontos gespeichert sind):
- RC4_HMAC_MD5
- AES128_CTS_HMAC_SHA1_96
- AES256_CTS_HMAC_SHA1_96
Ich habe auch bestätigt, dass RHEL 8 geeignete Verschlüsselungstypen bietet ( /etc/crypto-policies/back-ends/krb5.config
):
[libdefaults]
permitted_enctypes = aes256-cts-hmac-sha1-96 aes256-cts-hmac-sha384-192 camellia256-cts-cmac aes128-cts-hmac-sha1-96 aes128-cts-hmac-sha256-128 camellia128-cts-cmac
Es sollten also zwei Übereinstimmungen vorhanden sein: aes128-cts-hmac-sha1-96
und aes256-cts-hmac-sha1-96
. Wie ich bereits sagte, funktioniert es für die Subdomäne einwandfrei. Warum gibt es also keinen geeigneten Verschlüsselungstyp für die übergeordnete Domäne?
Antwort1
Die Eigenschaften eines AD-Trusts umfassen eine Eigenschaft namens „Die andere Domäne unterstützt Kerberos-AES-Verschlüsselung“. Standardmäßig ist diese Option nicht aktiviert. In diesem Szenario führt dies dazu, dass die übergeordnete Domäne keine AES-Verschlüsselungstypen für Kerberos anbieten kann. Daher ist die einzige Option RC4_HMAC_MD5
. Unter RHEL 8 ist die RC4-Verschlüsselung veraltet und standardmäßig deaktiviert. Daher ist tatsächlich kein Verschlüsselungstyp verfügbar, auf den sich RHEL und die übergeordnete Domäne einigen können.
Nach dem Setzen des Häkchens bei der Option „Die andere Domäne unterstützt Kerberos AES-Verschlüsselung“ funktionierte die Authentifizierung auch für die übergeordnete Domäne.
Wenn Sie diese Einstellung programmgesteuert vornehmen möchten,Hierdu gehst.
Antwort2
Für alle, die seit den jüngsten Änderungen im CentOS 8-Stream nach einer anderen Problemumgehung für dieses Problem suchen, hier die offizielle Lösung von RedHat:
https://access.redhat.com/solutions/5728591
Im Wesentlichen führen Sie Folgendes aus:
update-crypto-policies --set DEFAULT:AD-SUPPORT
...und dies ermöglicht RC4_HMAC_MD5
den Support auf die richtige Weise und es funktioniert. Natürlich ist es möglicherweise eine bessere Idee, AES in Ihrer Domäne zu aktivieren, wenn Sie einen Weg finden.