Eu tenho uma configuração simples de floresta de vários domínios do MS ADDS com um domínio pai e um subdomínio. Entrei com sucesso em um servidor RHEL 8 no subdomínio usandoesta documentação oficial. Todos os sistemas operacionais foram configurados usando o máximo possível de padrões. Posso fazer SSH com êxito no servidor RHEL usando uma conta AD do subdomínio. Mas quando tento usar uma conta do domínio pai, o login falha. Assim que envio o nome de usuário do domínio pai, journalctl
reporta o seguinte erro:
sssd_be[...]: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (KDC has no support for encryption type)
Verifiquei os DCs de cada domínio e posso confirmar que todos os DCs suportam os mesmos três tipos de criptografia padrão (que são armazenados no msDS-SupportedEncryptionTypes
atributo de cada conta de computador DC):
- RC4_HMAC_MD5
- AES128_CTS_HMAC_SHA1_96
- AES256_CTS_HMAC_SHA1_96
Também confirmei que o RHEL 8 oferece tipos de criptografia adequados ( /etc/crypto-policies/back-ends/krb5.config
):
[libdefaults]
permitted_enctypes = aes256-cts-hmac-sha1-96 aes256-cts-hmac-sha384-192 camellia256-cts-cmac aes128-cts-hmac-sha1-96 aes128-cts-hmac-sha256-128 camellia128-cts-cmac
Portanto, deve haver duas correspondências: aes128-cts-hmac-sha1-96
e aes256-cts-hmac-sha1-96
. Como já afirmei, está funcionando bem para o subdomínio. Então, por que não existe um tipo de criptografia adequado para o domínio pai?
Responder1
As propriedades de uma confiança AD incluem uma propriedade chamada "O outro domínio suporta criptografia Kerberos AES". Por padrão, esta opção não está marcada. Nesse cenário, isso leva ao fato de que o domínio pai não é capaz de oferecer tipos de criptografia AES para Kerberos. Portanto, a única opção é RC4_HMAC_MD5
. No RHEL 8, a criptografia RC4 foi descontinuada e desabilitada por padrão. Portanto, não há de fato nenhum tipo de criptografia disponível para acordo entre o RHEL e o domínio pai.
Após marcar a opção “O outro domínio suporta criptografia Kerberos AES”, a autenticação também funcionou para o domínio pai.
Se você quiser definir essa configuração programaticamente,aquivocê vai.
Responder2
Para qualquer pessoa que esteja procurando outra solução alternativa para esse problema desde as mudanças recentes no fluxo do CentOS 8, aqui está a solução oficial da RedHat:
https://access.redhat.com/solutions/5728591
Essencialmente, você executa:
update-crypto-policies --set DEFAULT:AD-SUPPORT
...e isso permite RC4_HMAC_MD5
o suporte da maneira certa e funciona. Obviamente, pode ser uma ideia melhor habilitar o AES em seu domínio, se você encontrar uma maneira.