Windows 2003 -Ktpass - crypto:枚举值'rc4-hmac‘未知

Question

我试图在Windows 2003上使用Ktpass创建一个keytab，其中包括：

Ktpass -princ host/prueba-mail.ejemplo.org@EJEMPLO.ORG -mapuser host -pass password -crypto rc4-hmac -out UNIXhost.keytab

我得到以下错误：

crypto: enum value 'rc4-hmac' is not known.
Error: argument for option "crypto" must be one of the following values:
DES-CBC-CRC : for compatibility
DES-CBC-MD5 : default
Command line options:

---------------------most useful args
[- /]          out : Keytab to produce
[- /]        princ : Principal name (user@REALM)
[- /]         pass : password to use
                     use "*" to prompt for password.
---------------------less useful stuff
[- /]      mapuser : map princ (above) to this user account (default: don't)
[- /]        mapOp : how to set the mapping attribute (default: add it)
[- /]        mapOp :  is one of:
[- /]        mapOp :        add : add value (default)
[- /]        mapOp :        set : set value
[- +]      DesOnly : Set account for des-only encryption (default:do)
[- /]           in : Keytab to read/digest
---------------------options for key generation
[- /]       crypto : Cryptosystem to use
[- /]       crypto :  is one of:
[- /]       crypto : DES-CBC-CRC : for compatibility
[- /]       crypto : DES-CBC-MD5 : default
[- /]        ptype : principal type in question
[- /]        ptype :  is one of:
[- /]        ptype : KRB5_NT_PRINCIPAL : The general ptype-- recommended
[- /]        ptype : KRB5_NT_SRV_INST : user service instance
[- /]        ptype : KRB5_NT_SRV_HST : host service instance
[- /]         kvno : Override Key Version Number
                     Default: query DC for kvno.  Use /kvno 1 for Win2K compat.
[- +]       Answer : +Answer answers YES to prompts.  -Answer answers NO.
[- /]       Target : Which DC to use.  Default:detect

我有两个问题：

1)这是我任天堂实现对Windows用户单点登录的imap服务是在Centos 6上实现的。虽然您可以使用"-crypto rc4-hmac“也可以服务或DE-CBC-MD5？我相信Windows的客户都有加密的票证rc4-hmac，这将不允许事情发生，我怀疑我的问题之一是存在的。

2)有允许Windows 2003的方法，您可以选择rc4-hmac？

谢谢你的帮助。

Answer 1

我不确定我是否理解您的第一个问题，但是如果您担心Windows客户端，它们肯定支持RC4-HMAC密钥，而不是更新的基于AES的密钥。

为了在密钥选项卡中使用RC4-HMAC加密密钥，您需要安装Service 1。正如错误后的使用信息所示，Windows 2003中的ktpass只支持DES加密密钥。请注意，Windows2003中的KDC不支持在没有SP1的情况下使用RC4-HMAC进行身份验证，根据本文讨论Kerberos互操作性.。或者，升级到Windows 2008或Windows2008AES支持R2。

RC4-HMAC的密码选项值是RC4-HMAC-NT，但如果客户端支持，我建议使用基于AES的加密选项。RedHat至少从RHEL 5开始就内置了对AES密钥的支持，所以我认为CentOS 6也支持

Answer 2

检查安装了哪个版本的Microsoft 2003支持工具。也许您有旧的SP1版本，但需要SP2。