我想从下面的主体中删除所有的des键,但不知道如何做,而不需要input密码。
kadmin: getprinc user Principal: [email protected] Expiration date: [never] Last password change: Thu May 26 08:52:51 PDT 2013 Password expiration date: [none] Maximum ticket life: 0 days 12:00:00 Maximum renewable life: 7 days 00:00:00 Last modified: Tue Jul 16 15:17:18 PDT 2013 (administrator/[email protected]) Last successful authentication: Wed Jul 24 14:40:53 PDT 2013 Last failed authentication: [never] Failed password attempts: 0 Number of keys: 8 Key: vno 3, aes256-cts-hmac-sha1-96, no salt Key: vno 3, arcfour-hmac, no salt Key: vno 3, des3-cbc-sha1, no salt Key: vno 3, des-cbc-crc, no salt Key: vno 3, des-cbc-md5, no salt Key: vno 3, des-cbc-md5, Version 5 - No Realm Key: vno 3, des-cbc-md5, Version 5 - Realm Only Key: vno 3, des-cbc-md5, AFS version 3 MKey: vno 2 Attributes: REQUIRES_PRE_AUTH Policy: [none]
此外, kdc正在使用OpenLDAP后端。
我不认为用MIT Kerberos代码可以做到这一点。 由于del_enctype是kadmin命令之一,所以heimdal并不重要。
据我所知,使用标准MIT的唯一方法是转储kdc数据库,删除违规的keytypes并重新加载数据库。 由于您的后端存储为OpenLdap,因此如果您有权访问ldap服务器的根dn,则可以在ldap数据库中find各个键值并将其删除。
架构在这里列出
http://k5wiki.kerberos.org/wiki/Kerberos.schema
我不清楚,有可能找出这个没有使用主密钥解密它的enctype。
attributetype ( 2.16.840.1.113719.1.301.4.39.1 NAME 'krbPrincipalKey' EQUALITY octetStringMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.40)