Kerberos 密钥表文件包含多个条目
Kerberos keytab file contains multiple entries
我正在尝试使用 kerberos 对我的服务的用户进行身份验证。
我使用 setspn -s HTTP/<hostname> <Username>
.
将 SPN 附加到用户
然后我对上述 SPN 附加用户使用了 ktpass 命令。但是生成的密钥表文件有多个条目,似乎正在创建多个密钥。
这可能是什么问题?
这里是 ktpass 命令的输出:
已创建密钥。
已创建密钥。
已创建密钥。
已创建密钥。
已创建密钥。
输出keytab到c:\tomcat.keytab:
密钥表版本:0x502
keysize 63 HTTP/punedvit2.sca.avaya.com@GSC.COM ptype 0 (KRB5_NT_UNKNOWN) vno 0 etype 0x1 (DES-CBC-CRC) keylength 8 (0xfda423cebf7c97ea)
keysize 63 HTTP/punedvit2.sca.avaya.com@GSC.COM ptype 0 (KRB5_NT_UNKNOWN) vno 0 etype 0x3 (DES-CBC-MD5) keylength 8 (0xfda423cebf7c97ea)
keysize 71 HTTP/punedvit2.sca.avaya.com@GSC.COM ptype 0 (KRB5_NT_UNKNOWN) vno 0 etype 0x17 (RC4-HMAC) keylength 16 (0x85a6dea042798a45a547f8450e1115fc)
keysize 87 HTTP/punedvit2.sca.avaya.com@GSC.COM ptype 0 (KRB5_NT_UNKNOWN) vno 0 etype 0x12 (AES256-SHA1) keylength 32 (0x391f59100fbe0ef1833c141ce3caffa69d3582022fb31643d1b4389f62e32c94)
keysize 71 HTTP/punedvit2.sca.avaya.com@GSC.COM ptype 0 (KRB5_NT_UNKNOWN) vno 0 etype 0x11 (AES128-SHA1) keylength 16 (0x4c37bdfdf11b98cd360c332976b5c7bc)
Keytab 使服务器能够打开 Kerberos 票证。此票证使用多种算法 (encTypes) 中的一种进行加密。服务器在密钥表中查找此 encType 中的条目。我们希望支持所有可以在域中使用的 encType。对于每一个,Keytab 中都有一个条目。
有问题的密钥表包含主体 HTTP/punedvit2.sca.avaya.com@GSC.COM 的 5 个条目,按 strength/security 排序:AES256、AES128、RC4 和两个 DES。 Active Directory 中的当前标准是 AES(256 或 128 位长)。 RC4 仍然很受欢迎。 DES 很容易破解,默认情况下不再启用。
我正在尝试使用 kerberos 对我的服务的用户进行身份验证。
我使用 setspn -s HTTP/<hostname> <Username>
.
然后我对上述 SPN 附加用户使用了 ktpass 命令。但是生成的密钥表文件有多个条目,似乎正在创建多个密钥。
这可能是什么问题?
这里是 ktpass 命令的输出:
已创建密钥。
已创建密钥。
已创建密钥。
已创建密钥。
已创建密钥。
输出keytab到c:\tomcat.keytab:
密钥表版本:0x502
keysize 63 HTTP/punedvit2.sca.avaya.com@GSC.COM ptype 0 (KRB5_NT_UNKNOWN) vno 0 etype 0x1 (DES-CBC-CRC) keylength 8 (0xfda423cebf7c97ea)
keysize 63 HTTP/punedvit2.sca.avaya.com@GSC.COM ptype 0 (KRB5_NT_UNKNOWN) vno 0 etype 0x3 (DES-CBC-MD5) keylength 8 (0xfda423cebf7c97ea)
keysize 71 HTTP/punedvit2.sca.avaya.com@GSC.COM ptype 0 (KRB5_NT_UNKNOWN) vno 0 etype 0x17 (RC4-HMAC) keylength 16 (0x85a6dea042798a45a547f8450e1115fc)
keysize 87 HTTP/punedvit2.sca.avaya.com@GSC.COM ptype 0 (KRB5_NT_UNKNOWN) vno 0 etype 0x12 (AES256-SHA1) keylength 32 (0x391f59100fbe0ef1833c141ce3caffa69d3582022fb31643d1b4389f62e32c94)
keysize 71 HTTP/punedvit2.sca.avaya.com@GSC.COM ptype 0 (KRB5_NT_UNKNOWN) vno 0 etype 0x11 (AES128-SHA1) keylength 16 (0x4c37bdfdf11b98cd360c332976b5c7bc)
Keytab 使服务器能够打开 Kerberos 票证。此票证使用多种算法 (encTypes) 中的一种进行加密。服务器在密钥表中查找此 encType 中的条目。我们希望支持所有可以在域中使用的 encType。对于每一个,Keytab 中都有一个条目。
有问题的密钥表包含主体 HTTP/punedvit2.sca.avaya.com@GSC.COM 的 5 个条目,按 strength/security 排序:AES256、AES128、RC4 和两个 DES。 Active Directory 中的当前标准是 AES(256 或 128 位长)。 RC4 仍然很受欢迎。 DES 很容易破解,默认情况下不再启用。