Linux

從 Active Directory 檢索目前的 Kerberos KVNO

  • February 11, 2022

我在連接到 Windows KDC 的 Linux 主機時遇到了 Kerberos 問題。我懷疑版本錯誤的 Kerberos 密鑰是罪魁禍首。

一種方法是刪除 SPN 並重新創建它,但這是在生產環境中,如果您願意,我必須以“只讀”方式進行調試。

如何從 Active Directory 中的主體檢索目前的 Kerberos KVNO?

我懷疑 KVNO 是否與您的問題有關,也許與 Linux 客戶端有關,但無論如何,請使用 Wireshark/Network Monitor:

kvno

密鑰版本號在 MS-KILE 第 3.1.5.8 節中描述。

順便說一句,Mathias R. Jessen 是正確的,因為 Windows 通常會忽略 KVNO。但是它們仍然以 RFC 投訴的方式實現。

https://docs.microsoft.com/en-us/archive/blogs/openspecification/to-kvno-or-not-to-kvno-what-is-the-version

不,Windows 不關注 KVNO。它只是忽略它。

但是 KVNO 在 RODC 環境中確實有一些意義:

https://docs.microsoft.com/en-us/archive/blogs/openspecification/notes-on-kerberos-kvno-in-windows-rodc-environment

更多資訊在這裡: https://web.archive.org/web/20150204183217/http: //support.microsoft.com/kb/2716037

在具有一個或多個 RODC 的環境中,與某些基於 MIT 的 Kerberos 設備互動時,可能會在以下任一情況下失敗。

· 客戶端是 MIT 設備,它從 RODC 上的 Windows KDC 接收到 TGT

· 客戶端將 RODC 上的 Windows KDC 生成的 TGT 傳遞給 MIT 設備,MIT 設備又使用 TGT 代表呼叫使用者請求 TGS。

在這兩種情況下,TGT 將由 RODC 頒發,其中與該 RODC 的 krbtgt 帳戶關聯的 msDS-SecondaryKrbTgtNumber的值將大於 32767。

引用自:https://serverfault.com/questions/601270