Tengo una configuración simple de bosque multidominio de MS ADDS con un dominio principal y un subdominio. Me uní exitosamente a un servidor RHEL 8 al subdominio usandoesta documentación oficial. Todos los sistemas operativos se han configurado utilizando la mayor cantidad de valores predeterminados posible. Puedo ingresar SSH exitosamente al servidor RHEL usando una cuenta AD del subdominio. Pero cuando intento utilizar una cuenta del dominio principal, el inicio de sesión falla. Tan pronto como envío el nombre de usuario del dominio principal, journalctlaparece el siguiente error:
sssd_be[...]: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (KDC has no support for encryption type)
Revisé los DC de cada dominio y puedo confirmar que todos los DC admiten los mismos tres tipos de cifrado predeterminados (que se almacenan en el msDS-SupportedEncryptionTypesatributo de cada cuenta de computadora de DC):
- RC4_HMAC_MD5
- AES128_CTS_HMAC_SHA1_96
- AES256_CTS_HMAC_SHA1_96
También confirmé que RHEL 8 ofrece tipos de cifrado adecuados ( /etc/crypto-policies/back-ends/krb5.config):
[libdefaults]
permitted_enctypes = aes256-cts-hmac-sha1-96 aes256-cts-hmac-sha384-192 camellia256-cts-cmac aes128-cts-hmac-sha1-96 aes128-cts-hmac-sha256-128 camellia128-cts-cmac
Entonces, debería haber dos coincidencias: aes128-cts-hmac-sha1-96y aes256-cts-hmac-sha1-96. Como ya dije, está funcionando bien para el subdominio. Entonces, ¿por qué no existe un tipo de cifrado adecuado para el dominio principal?
Respuesta1
Las propiedades de una confianza AD incluyen una propiedad llamada "El otro dominio admite el cifrado Kerberos AES". De forma predeterminada, esta opción no está marcada. En este escenario, esto lleva al hecho de que el dominio principal no puede ofrecer tipos de cifrado AES para Kerberos. Por tanto, la única opción es RC4_HMAC_MD5. En RHEL 8, el cifrado RC4 ha quedado obsoleto y deshabilitado de forma predeterminada. Por lo tanto, no existe ningún tipo de cifrado disponible para acordar entre RHEL y el dominio principal.
Después de marcar la opción "El otro dominio admite el cifrado Kerberos AES", la autenticación también funcionó para el dominio principal.
Si desea establecer esta configuración mediante programación,aquíanda tu.
Respuesta2
Para cualquiera que busque otra solución para este problema desde los cambios recientes en la transmisión de CentOS 8, aquí está la solución oficial de RedHat:
https://access.redhat.com/solutions/5728591
Básicamente, ejecutas:
update-crypto-policies --set DEFAULT:AD-SUPPORT
...y esto permite brindar RC4_HMAC_MD5soporte de la manera correcta y funciona. Obviamente, puede ser una mejor idea habilitar AES en su dominio si puede encontrar una manera.