GSSAPI-Fehler: KDC unterstützt keinen Verschlüsselungstyp auf RHEL 8, das mit einer AD-Gesamtstruktur mit mehreren Domänen verbunden ist

tag-icon tag-icon active-directory redhat kerberos windows-server-2019 rhel8
GSSAPI-Fehler: KDC unterstützt keinen Verschlüsselungstyp auf RHEL 8, das mit einer AD-Gesamtstruktur mit mehreren Domänen verbunden ist

Ich habe ein einfaches MS ADDS Multi-Domain-Forest-Setup mit einer übergeordneten Domäne und einer Subdomäne. Ich habe einen RHEL 8-Server erfolgreich mit der Subdomäne verbunden, indem ichdiese offizielle Dokumentation. Alle Betriebssysteme wurden mit möglichst vielen Standardeinstellungen eingerichtet. Ich kann mich erfolgreich per SSH mit dem RHEL-Server verbinden, indem ich ein AD-Konto der Subdomäne verwende. Aber wenn ich versuche, ein Konto der übergeordneten Domäne zu verwenden, schlägt die Anmeldung fehl. Sobald ich den Benutzernamen der übergeordneten Domäne eingebe, journalctlwird der folgende Fehler gemeldet:

sssd_be[...]: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (KDC has no support for encryption type)

Ich habe die DCs jeder Domäne überprüft und kann bestätigen, dass alle DCs dieselben drei Standardverschlüsselungstypen unterstützen (die im msDS-SupportedEncryptionTypesAttribut jedes DC-Computerkontos gespeichert sind):

  • RC4_HMAC_MD5
  • AES128_CTS_HMAC_SHA1_96
  • AES256_CTS_HMAC_SHA1_96

Ich habe auch bestätigt, dass RHEL 8 geeignete Verschlüsselungstypen bietet ( /etc/crypto-policies/back-ends/krb5.config):

[libdefaults]
permitted_enctypes = aes256-cts-hmac-sha1-96 aes256-cts-hmac-sha384-192 camellia256-cts-cmac aes128-cts-hmac-sha1-96 aes128-cts-hmac-sha256-128 camellia128-cts-cmac

Es sollten also zwei Übereinstimmungen vorhanden sein: aes128-cts-hmac-sha1-96und aes256-cts-hmac-sha1-96. Wie ich bereits sagte, funktioniert es für die Subdomäne einwandfrei. Warum gibt es also keinen geeigneten Verschlüsselungstyp für die übergeordnete Domäne?

Antwort1

Die Eigenschaften eines AD-Trusts umfassen eine Eigenschaft namens „Die andere Domäne unterstützt Kerberos-AES-Verschlüsselung“. Standardmäßig ist diese Option nicht aktiviert. In diesem Szenario führt dies dazu, dass die übergeordnete Domäne keine AES-Verschlüsselungstypen für Kerberos anbieten kann. Daher ist die einzige Option RC4_HMAC_MD5. Unter RHEL 8 ist die RC4-Verschlüsselung veraltet und standardmäßig deaktiviert. Daher ist tatsächlich kein Verschlüsselungstyp verfügbar, auf den sich RHEL und die übergeordnete Domäne einigen können.

Nach dem Setzen des Häkchens bei der Option „Die andere Domäne unterstützt Kerberos AES-Verschlüsselung“ funktionierte die Authentifizierung auch für die übergeordnete Domäne.

Wenn Sie diese Einstellung programmgesteuert vornehmen möchten,Hierdu gehst.

Antwort2

Für alle, die seit den jüngsten Änderungen im CentOS 8-Stream nach einer anderen Problemumgehung für dieses Problem suchen, hier die offizielle Lösung von RedHat:

https://access.redhat.com/solutions/5728591

Im Wesentlichen führen Sie Folgendes aus:

update-crypto-policies --set DEFAULT:AD-SUPPORT

...und dies ermöglicht RC4_HMAC_MD5den Support auf die richtige Weise und es funktioniert. Natürlich ist es möglicherweise eine bessere Idee, AES in Ihrer Domäne zu aktivieren, wenn Sie einen Weg finden.

verwandte Informationen