我试图在Windows Server 2003上用Ktpass创build一个keytab:
Ktpass -princ host/[email protected] -mapuser host -pass password -crypto rc4-hmac -out UNIXhost.keytab 我得到以下错误:
crypto: enum value 'rc4-hmac' is not known. Error: argument for option "crypto" must be one of the following values: DES-CBC-CRC : for compatibility DES-CBC-MD5 : default Command line options: ---------------------most useful args [- /] out : Keytab to produce [- /] princ : Principal name (user@REALM) [- /] pass : password to use use "*" to prompt for password. ---------------------less useful stuff [- /] mapuser : map princ (above) to this user account (default: don't) [- /] mapOp : how to set the mapping attribute (default: add it) [- /] mapOp : is one of: [- /] mapOp : add : add value (default) [- /] mapOp : set : set value [- +] DesOnly : Set account for des-only encryption (default:do) [- /] in : Keytab to read/digest ---------------------options for key generation [- /] crypto : Cryptosystem to use [- /] crypto : is one of: [- /] crypto : DES-CBC-CRC : for compatibility [- /] crypto : DES-CBC-MD5 : default [- /] ptype : principal type in question [- /] ptype : is one of: [- /] ptype : KRB5_NT_PRINCIPAL : The general ptype-- recommended [- /] ptype : KRB5_NT_SRV_INST : user service instance [- /] ptype : KRB5_NT_SRV_HST : host service instance [- /] kvno : Override Key Version Number Default: query DC for kvno. Use /kvno 1 for Win2K compat. [- +] Answer : +Answer answers YES to prompts. -Answer answers NO. [- /] Target : Which DC to use. Default:detect
我有两个问题:
1)这是我intent实现单点login到Windows用户与IMAP服务是在Centos 6上。虽然你可以使用“-crypto rc4-hmac”还可以为DES-CBC-CRC或DES-CBC-MD5服务? 。 我相信Windows客户拥有所有的encryption票证rc4-hmac,这不会让事情工作,我怀疑我的问题之一是在那里。
2)有办法让Windows Server 2003可以有选项rc4-hmac ?.
谢谢你的帮助。
我不确定我是否理解你的第一个问题,但是如果你担心Windows XP客户端,他们肯定支持RC4-HMAC密钥,但是不支持基于AES的新密钥。
为了在keytab中使用RC4-HMACencryption密钥,您需要安装Service Pack 1.由于错误提示后的用法消息,Windows Server 2003中的ktpass仅支持DESencryption密钥。 请注意,Windows 2003中的KDC根据本文关于Kerberos互操作性的规定,不支持使用无SP1的RC4-HMAC进行身份validation。 或者,升级到Windows Server 2008或Windows 2008 R2以获得AES支持。
RC4-HMAC的encryption选项值是RC4-HMAC-NT ,但如果客户端支持,我会推荐使用基于AES的encryption选项。 RedHat内置的AES密钥支持,因为至lessRHEL 5,所以我假设CentOS 6也有
检查是否安装了Microsoft Windows 2003的支持工具版本。 也许你有旧的SP1版本,但需要SP2。