我们在OS X 10.10 Yosemite上运行一个KDC,我们已经添加了一个远程访问(传统)主机的服务主体:
$ kadmin add -r host/abcd@REALM 由于主机只支持des-cbc-crc密钥encryption,所以我们尝试(不成功)添加:
$ kadmin add_enctype -r host/abcd@REALM des-cbc-crc kadmin: bad enctype "des-cbc-crc"
考虑到默认情况下DES(非常明显)被禁用,我们尝试在allow_weak_crypto=true的[libdefaults]部分放置allow_weak_crypto=true并重新启动kdc进程,但无济于事。
花了好几个小时,却没有结果。 当然,苹果公司还没有编译过的Kerberos没有任何 DES的支持? 我们如何解决这个问题?
当然,苹果公司还没有编译过的Kerberos没有任何支持DES?
实际上,看起来他们是在10.10 /优胜美地。 在10.07 / Lion中,他们用Kerberos制作的一团糟之后……你们有我真诚的哀悼。
由于优胜美地的Kerberos取消了对1-DESencryptiontypes的支持,因此allow_weak_crypto没有任何效果,所以在Yosemite(10.10)的OS X上不需要krb5-weak.conf试图实现的function。 (我们知道这是因为testing了beta版本并与苹果交谈,这也是我们正在使用AFS的原因之一。
另外还有一个源代码 ,其中包含了一个将旧领域升级到现代encryptionalgorithm的方便链接 。