Kerberos

如何從 kerberos 主體中刪除加密類型?

  • November 1, 2013

我想des從下面的主體中刪除所有密鑰,但不知道如何在沒有人輸入密碼的情況下這樣做。

kadmin:  getprinc user
Principal: user@EXAMPLE.COM
Expiration date: [never]
Last password change: Thu May 26 08:52:51 PDT 2013
Password expiration date: [none]
Maximum ticket life: 0 days 12:00:00
Maximum renewable life: 7 days 00:00:00
Last modified: Tue Jul 16 15:17:18 PDT 2013 (administrator/admin@EXAMPLE.COM)
Last successful authentication: Wed Jul 24 14:40:53 PDT 2013
Last failed authentication: [never]
Failed password attempts: 0
Number of keys: 8
Key: vno 3, aes256-cts-hmac-sha1-96, no salt
Key: vno 3, arcfour-hmac, no salt
Key: vno 3, des3-cbc-sha1, no salt
Key: vno 3, des-cbc-crc, no salt
Key: vno 3, des-cbc-md5, no salt
Key: vno 3, des-cbc-md5, Version 5 - No Realm
Key: vno 3, des-cbc-md5, Version 5 - Realm Only
Key: vno 3, des-cbc-md5, AFS version 3
MKey: vno 2
Attributes: REQUIRES_PRE_AUTH
Policy: [none]

此外,該kdc正在使用OpenLDAP後端。

我認為使用 MIT kerberos 程式碼沒有任何簡單的方法可以做到這一點。由於 del_enctype 是 kadmin 命令之一,因此這對 heimdal 來說是微不足道的。

據我所知,使用標準 MIT 執行此操作的唯一方法是轉儲 kdc 數據庫,刪除有問題的鍵類型並重新載入數據庫。由於您的後端儲存是 OpenLdap,因此如果您可以訪問 ldap 伺服器的根 dn,您可能能夠在 ldap 數據庫中找到各個鍵值並將其刪除。

架構在此處列出

http://k5wiki.kerberos.org/wiki/Kerberos.schema

我不清楚是否可以在不使用主密鑰對其進行解密的情況下找出它的編碼類型。

attributetype ( 2.16.840.1.113719.1.301.4.39.1
           NAME 'krbPrincipalKey'
           EQUALITY octetStringMatch
           SYNTAX 1.3.6.1.4.1.1466.115.121.1.40)

引用自:https://serverfault.com/questions/526044