Mac-Osx

如何在 Apple KDC 上啟用 DES 加密密鑰?

  • December 15, 2014

我們在 OS X 10.10 Yosemite 上執行 KDC,我們添加了一個用於遠端訪問(舊版)主機的服務主體:

$ kadmin add -r host/a.b.c.d@REALM

由於主機僅支持des-cbc-crc密鑰加密,因此我們嘗試(未成功)添加:

$ kadmin add_enctype -r host/a.b.c.d@REALM des-cbc-crc
kadmin: bad enctype "des-cbc-crc"

考慮到預設情況下(相當明智地)禁用了 DES,我們嘗試將其放入allow_weak_crypto=true[libdefaults]部分/var/db/krb5kdc/kdc.conf並重新啟動該kdc過程,但無濟於事。

許多小時都在折騰,但沒有結果。蘋果肯定沒有在不支持 DES 的情況下編譯 Kerberos?我們如何解決這個問題?

蘋果肯定沒有在不支持 DES 的情況下編譯 Kerberos 嗎?

好吧,實際上,它們看起來就像在 10.10/Yosemite 中所做的那樣。在他們在 10.07/Lion 把 Kerberos 弄得一團糟之後……你有我誠摯的哀悼。

從 Yosemite (10.10) 開始,在 OS X 上不需要 krb5-weak.conf 嘗試實現的功能,因為 Yosemite 的 Kerberos 刪除了對 1-DES 加密類型的支持,因此allow_weak_crypto沒有任何效果。(我們知道這一點是因為測試了 beta 版本並與 Apple 交談過;這就是我們正在 rxkad 處理我們的 AFS 的原因之一。)

這是另一個來源,其中包含一個關於將舊領域升級到現代加密算法的便捷連結

引用自:https://serverfault.com/questions/652752