我正在使用Windows Server 2008和Windows Vista和7进行使用MIT Kerberos 1.6的跨域身份validation,但是当我尝试login用户时,KDC会回答:
(wireshark输出)
error_code:KRB5KDC_ERR_ETYPE_NOSUPP(14)… e-text:BAD_ENCRYPTION_TYPE
我想知道如何更改encryptiontypes方法与KDC兼容(我试过一个XP客户端,它工作正常)。
(昨天发布超级用户,但我猜这是更多的一个serverfault问题)
谁可以帮我这个事 ?
非常感谢!
以下两个链接有关于Kerberos的SupportedEncryptionTypesconfiguration的一些详细信息: http : //msdn.microsoft.com/en-us/library/ms677827%28v=vs.85%29.aspx https://blogs.msdn。 COM / b / openspecification /存档/ 2009/09/12 / MSDS-supportedencryptiontypes-插曲-1-计算机accounts.aspx
一般来说,您需要在KDC和Windows机器之间使用通用algorithm。 如果您正在运行更新版本的MIT Kerberos,则应该有AES支持,但如果您的KDC较旧,则需要使用DES进行互操作。 @Tommed是正确的,在Win7中默认禁用DES,但它应该在Vista上正常工作。
或者,捕获KDC和客户端计算机之间的networkingstream量,并查看客户端提供的内容,并查看KDCconfiguration,以确保至less有一个共同的encryptionalgorithm。
你使用什么encryptiontypes? 您是否在创build主机策略时指定了encryptiontypes? 如果没有,它可能会使用在Windows 7中默认禁用的 DES
尝试启用DES并再次尝试。 还要确保你的时间与你的服务器同步!
希望帮助! 🙂
这听起来在原理上类似于我刚刚通过的SSL错误。
如果涉及证书,请确保它是使用证书请求向导中的CNG选项生成的,而不是传统密钥选项。