我们已经在我们的 AD 环境中确定了一些设置为仅使用 DES 密钥的密钥表。此外,这些主体还在 ADDS 中将其 USEDESKEYONLY 属性设置为 true。我们的目标是“更新”密钥表以使用 AES。
目前,我相信我们将不得不通过 setspn 发布 SPN,更改服务帐户的密码(稍后使用)将 USEDESKEYONLY 属性更新为 false,设置为“支持 AES-256”,使用 ktpass 重新生成密钥表使用适当的密码和-mapuser 将新密码返回到已发布的 SPN,然后将密钥表二进制文件传输回保存密钥表的服务 (SSO)。所有这些都将发生在维护窗口中。
有人能确认我是否走在正确的道路上吗?谁能推荐一个我可以进一步测试的开源服务(目前没有使用 SSO 服务的测试环境)?