问题标签 [ktpass]

我正在编写一个 pGina 插件以在登录时从我们的 KDC 获取 AFS 令牌和 Kerberos TGT，同时我注意到 kinit 的一个“功能”是它不会让你提供任何输入，除非它来自键盘，我的想法是只是重定向标准输入......

有人建议为主体使用 keytab 文件，这似乎超级简单，直到我意识到我只在 linux 上使用了 kutil，并且在使用 ktpass.exe 的 Windows 版本时遇到了困难。我已经反复尝试使用大量参数组合来创建密钥表，但到目前为止绝对没有成功，我发出的当前命令是：

ktpass /out key.tab /mapuser user$@MERP.EDU /princ user.merp.edu@MERP.EDU /crypto RC4-HMAC-NT /ptype KRB5_NT_PRINCIPAL /pass mahpasswordlol /target MERP.EDU

不幸的是，所有这些输出都是

Using legacy password setting method

FAIL: ldap_bind_s failed: 0x31

根据我的研究，这是一个身份验证/加密问题，我已经尝试过使用其他 DES 设置，但这似乎也不起作用......有人对这可能如何工作有任何经验/想法吗？

我有一个 Kerberos 密钥表文件。有没有一种简单的方法来验证包含的密码是我假设的密码？我在十六进制编辑器中查看了该文件，并且根据http://www.gnu.org/software/shishi/manual/html_node/The-Keytab-Binary-File-Format.html中描述的结构，keyblock包含的类型是 3 用于 des-cbc-md5，1 用于 ??，23 用于 arcfour-hmac-md5，16 用于 des3-cbc-sha1，17 用于 ??

我正在尝试在 Windows Server 2003 上使用 Ktpass 创建一个密钥表。

我收到以下错误：

我有两个问题：

1)我打算在 Centos 6 上使用 imap 服务实现对 Windows 用户的单点登录。虽然你可以使用“-crypto rc4-hmac”也可以提供 DES-CBC-CRC 或 DES-CBC-MD5？ . 我相信 Windows 客户拥有所有加密票 rc4-hmac，这不会让事情正常进行，我怀疑我的问题之一就在那里。

2)有办法让Windows Server 2003 可以有选项rc4-hmac?。

谢谢你的帮助。

我只是想找出将用户映射到使用的服务的目的是什么ktpass。例如，我在 Windows 上，我ktpass像这样运行：

ktpass -out <keytab location> -princ <host/domain.com> -mapUser useraccount@domain.com -mapOp add .........

当我们将用户映射到 时，-princ是否意味着只有“用户帐户”才能对服务进行身份验证？我们如何使用-addand-set选项？有什么区别？

我的问题是：我有很多用户想要使用我拥有的服务，并通过 kerberos (JASS Krb5LoginModule) 进行身份验证，但我不想在 jaas.config 文件中指定许多用户主体名称。所以我正在考虑使用 SPN，并映射用户。

我正在尝试使用 kerberos 对我的服务的用户进行身份验证。我将 SPN 附加到使用setspn -s HTTP/<hostname> <Username>.

然后我对上面的 SPN 附加用户使用了 ktpass 命令。但是生成的密钥表文件有多个条目，似乎正在创建多个密钥。

这里可能有什么问题？

这是 ktpass 命令的输出：

已创建密钥。

已创建密钥。

已创建密钥。

已创建密钥。

已创建密钥。

将 keytab 输出到 c:\tomcat.keytab：

密钥表版本：0x502

我有一些 AD 用户，它们链接到一个功能组。我的问题是如何在 keytab 命令中提到这个功能组？据我了解，keytab 使用 AD 用户名和密码。还必须在 keytab 命令中提及密码吗？

句法：

ktpass –princ HTTP/@ -mapuser –pass 密码 -crypto all -ptype KRB5_NT_PRINCIPAL –out

我在不同的网站上寻找上述问题的答案，但在每种情况下都有如何生成 keytab 文件。我需要 keytab 来获取包含 kerberos 身份验证的 hbase 连接。

我设法为 1 台服务器设置了 Kerberos 身份验证，并且运行正常。现在我有一个项目，我必须将另一台服务器添加到 Kerberos 配置中，如下所示：

1) 广告服务器

2) 运行服务的 server1

3) server2 将运行相同的服务

所以我执行了 setspn 命令以将两者都分配给单个“spn”用户：

setspn -s serviceX/server1.domain.com@DOMAIN.COM spn

setspn -s serviceX/server2.domain.com@DOMAIN.COM spn

然后我执行了命令 ktpass：

ktpass -princ serviceX/server1.domain.com@DOMAIN.COM -ptype KRB5_NT_PRINCIPAL -crypto AES256-SHA1 -mapuser serviceX\spn -out C:\keytab +rndPass

接下来我应该怎么做才能让它发挥作用？如何为 server2 执行 ktpass？当我为 server2 尝试相同的命令时，我收到警告：

警告：无法将 UPN serviceX/server2.domain.com ptype 1 vno 10 etype 0x12 kinit 设置为“serviceX/server2.domain.com”将失败。

你们如何为相同的服务但​​在不同的服务器上设置 kerberos 身份验证？您是否创建 2 个 spn 用户和 2 个 keytab？我认为我需要将所有内容都放在 1 个 keytab 中，因为服务需要它。有什么帮助吗？

我在这里和整个网络上浏览了大量关于 Powershell 中特殊字符的帖子，但无论我到目前为止尝试了什么，我的命令都会继续被特殊字符所吸引。我正在尝试使用以下命令生成密钥表：

我尝试将密码分配给变量，使用反引号转义，双引号和转义，单引号。我不知道还能在这里尝试什么。

我们的 AD 团队将禁用 RC4-HMAC，因此我必须将 JBoss 应用程序更改为 AES。我将 aes 类型添加到 krb5.conf 并创建了新的密钥表，但这似乎不起作用。除了使用 kinit 的应用程序之外的测试显示相同的结果。

有一个类似的问题，但我们已经启用了它的解决方案。还有另一个人（里克莫里茨）对我的问题没有答案。

服务器：SLES12

广告：Windows 服务器 2016

krb5.conf

键表

密钥表旧 RC4：

密钥表新的 AES256：

kinit 测试（krb5 版本 1.12.5）

使用密码进行身份验证（成功）：

使用旧 keytab RC4 进行身份验证（成功）：

使用新的 keytab AES256 进行身份验证（失败）：

查看 etypes 表明 aes 似乎有效。但我无法弄清楚为什么我会收到 aes-keytabs 的预身份验证错误。

新旧 keytab 由以下 ktpass 命令创建：

我已经用正确的 kvno 而不是 0 尝试过，结果相同。

感谢您的帮助或想法。

PS 匿名 MY.DOMAIN 和 myapp

使用新编译的 krb5 1.16 进行测试

我结合了 Samson Scharfrichter 和 T.Heron 的技巧，现在我看到了在创建 keytab 时从 ktpass 获得的 SALT 和 kinit 的跟踪输出之间的区别。但我不知道它来自哪里以及如何改变它。在这种情况下，盐由其中一个 SPN 组成。

ktpass

启动跟踪