ข้อผิดพลาด GSSAPI: KDC ไม่รองรับประเภทการเข้ารหัสบน RHEL 8 ที่เข้าร่วมกับฟอเรสต์ AD หลายโดเมน

stackprotector

14/8/23 12:16

ฉันมีการตั้งค่าฟอเรสต์หลายโดเมนของ MS ADDS แบบง่ายๆ โดยมีโดเมนหลักและโดเมนย่อยหนึ่งโดเมน ฉันเข้าร่วมเซิร์ฟเวอร์ RHEL 8 สำเร็จไปยังโดเมนย่อยโดยใช้ เอกสารอย่างเป็นทางการนี้. ระบบปฏิบัติการทั้งหมดได้รับการตั้งค่าโดยใช้ค่าเริ่มต้นมากที่สุดเท่าที่จะเป็นไปได้ ฉันสามารถ SSH เข้าสู่เซิร์ฟเวอร์ RHEL ได้สำเร็จโดยใช้บัญชี AD ของโดเมนย่อย แต่เมื่อฉันพยายามใช้บัญชีของโดเมนหลัก การเข้าสู่ระบบล้มเหลว ทันทีที่ฉันส่งชื่อผู้ใช้ของโดเมนหลัก วารสาร ctl รายงานข้อผิดพลาดต่อไปนี้:

sssd_be[...]: ข้อผิดพลาด GSSAPI: ความล้มเหลวของ GSS ที่ไม่ได้ระบุ รหัสย่อยอาจให้ข้อมูลเพิ่มเติม (KDC ไม่รองรับประเภทการเข้ารหัส)

ฉันได้ตรวจสอบ DC ของแต่ละโดเมนแล้วและสามารถยืนยันได้ว่า DC ทั้งหมดรองรับการเข้ารหัสเริ่มต้นสามประเภทเดียวกัน (ซึ่งจัดเก็บไว้ใน msDS-SupportedEncryptionTypes คุณลักษณะของแต่ละบัญชีคอมพิวเตอร์ DC):

RC4_HMAC_MD5
AES128_CTS_HMAC_SHA1_96
AES256_CTS_HMAC_SHA1_96

ฉันยังยืนยันว่า RHEL 8 มีประเภทการเข้ารหัสที่เหมาะสม (/etc/crypto-policies/back-ends/krb5.config):

[libdefaults]
permitted_enctypes = aes256-cts-hmac-sha1-96 aes256-cts-hmac-sha384-192 camellia256-cts-cmac aes128-cts-hmac-sha1-96 aes128-cts-hmac-sha256-128 camellia128-cts-cmac

ดังนั้นควรมีการแข่งขันสองรายการ: aes128-cts-hmac-sha1-96 และ aes256-cts-hmac-sha1-96. อย่างที่ฉันได้กล่าวไปแล้ว มันทำงานได้ดีสำหรับโดเมนย่อย เหตุใดจึงไม่มีประเภทการเข้ารหัสที่เหมาะสมสำหรับโดเมนหลัก

105

0 + 0

หมวกสีแดง

เครื่องหมายดอกจัน

windows-server-2019

rhel8

Score:1

Server

stackprotector

14/8/23 12:16

คุณสมบัติของ AD trust รวมถึงคุณสมบัติที่เรียกว่า "โดเมนอื่นรองรับ Kerberos AES Encryption" ตามค่าเริ่มต้น ตัวเลือกนี้จะไม่ถูกเลือกในสถานการณ์นี้ สิ่งนี้นำไปสู่ความจริงที่ว่าโดเมนหลักไม่สามารถเสนอประเภทการเข้ารหัส AES สำหรับ Kerberos ดังนั้นทางเลือกเดียวคือ RC4_HMAC_MD5. ใน RHEL 8 การเข้ารหัส RC4 เลิกใช้แล้วและปิดใช้งานตามค่าเริ่มต้น ดังนั้นจึงไม่มีประเภทการเข้ารหัสที่ยอมรับได้ระหว่าง RHEL และโดเมนหลัก

หลังจากเลือกตัวเลือก "โดเมนอื่นรองรับ Kerberos AES Encryption" การตรวจสอบสิทธิ์ก็ใช้ได้กับโดเมนหลักด้วย

0 + 0

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: GSSAPI Error: KDC has no support for encryption type on RHEL 8 joined to multi-domain AD forest

TH: ข้อผิดพลาด GSSAPI: KDC ไม่รองรับประเภทการเข้ารหัสบน RHEL 8 ที่เข้าร่วมกับฟอเรสต์ AD หลายโดเมน

RO: Eroare GSSAPI: KDC nu are suport pentru tipul de criptare pe RHEL 8 asociat la pădurea AD multi-domeniu

RU: Ошибка GSSAPI: KDC не поддерживает тип шифрования на RHEL 8, присоединенном к многодоменному лесу AD

VI: Lỗi GSSAPI: KDC không hỗ trợ loại mã hóa trên RHEL 8 đã tham gia nhóm AD đa miền

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา