GSSAPI 오류: KDC는 다중 도메인 AD 포리스트에 가입된 RHEL 8의 암호화 유형을 지원하지 않습니다.

GSSAPI 오류: KDC는 다중 도메인 AD 포리스트에 가입된 RHEL 8의 암호화 유형을 지원하지 않습니다.

상위 도메인과 하나의 하위 도메인이 있는 간단한 MS ADDS 다중 도메인 포리스트 설정이 있습니다. 다음을 사용하여 RHEL 8 서버를 하위 도메인에 성공적으로 가입했습니다.이 공식 문서. 모든 OS는 가능한 한 많은 기본값을 사용하여 설정되었습니다. 하위 도메인의 AD 계정을 사용하여 RHEL 서버에 SSH로 성공적으로 연결할 수 있습니다. 그런데 상위 도메인의 계정을 사용하려고 하면 로그인이 실패합니다. 상위 도메인의 사용자 이름을 제출하자마자 journalctl다음 오류가 보고됩니다.

sssd_be[...]: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (KDC has no support for encryption type)

각 도메인의 DC를 확인한 결과 모든 DC가 동일한 세 가지 기본 암호화 유형( msDS-SupportedEncryptionTypes각 DC 컴퓨터 계정의 특성에 저장됨)을 지원하는지 확인할 수 있습니다.

  • RC4_HMAC_MD5
  • AES128_CTS_HMAC_SHA1_96
  • AES256_CTS_HMAC_SHA1_96

또한 RHEL 8이 적합한 암호화 유형( )을 제공한다는 것도 확인했습니다 /etc/crypto-policies/back-ends/krb5.config.

[libdefaults]
permitted_enctypes = aes256-cts-hmac-sha1-96 aes256-cts-hmac-sha384-192 camellia256-cts-cmac aes128-cts-hmac-sha1-96 aes128-cts-hmac-sha256-128 camellia128-cts-cmac

따라서 두 개의 일치 항목이 있어야 합니다: aes128-cts-hmac-sha1-96aes256-cts-hmac-sha1-96. 이미 언급했듯이 하위 도메인에서는 제대로 작동합니다. 그렇다면 상위 도메인에 적합한 암호화 유형이 없는 이유는 무엇입니까?

답변1

AD 트러스트의 속성에는 "다른 도메인이 Kerberos AES 암호화를 지원합니다"라는 속성이 포함됩니다. 기본적으로 이 옵션은 선택되어 있지 않습니다. 이 시나리오에서는 상위 도메인이 Kerberos에 대한 AES 암호화 유형을 제공할 수 없다는 사실이 발생합니다. 따라서 유일한 옵션은 입니다 RC4_HMAC_MD5. RHEL 8에서는 RC4 암호화가 더 이상 사용되지 않으며 기본적으로 비활성화됩니다. 따라서 실제로 RHEL과 상위 도메인 간에 합의할 수 있는 암호화 유형이 없습니다.

"다른 도메인은 Kerberos AES 암호화를 지원합니다" 옵션을 확인한 후 상위 도메인에서도 인증이 작동했습니다.

이 설정을 프로그래밍 방식으로 설정하려면여기너가.

답변2

CentOS 8 스트림의 최근 변경 이후 이 문제에 대한 다른 해결 방법을 찾고 있는 사람을 위해 RedHat의 공식 솔루션은 다음과 같습니다.

https://access.redhat.com/solutions/5728591

기본적으로 다음을 실행합니다.

update-crypto-policies --set DEFAULT:AD-SUPPORT

...이를 통해 RC4_HMAC_MD5올바른 방식으로 지원이 가능해지며 효과가 있습니다. 분명히 방법을 찾을 수 있다면 도메인에서 AES를 활성화하는 것이 더 나은 생각일 수 있습니다.

관련 정보