Как включить ключи с шифрованием DES на Apple KDC?

Question

Как включить ключи с шифрованием DES на Apple KDC?

Мы выполняем KDC на OS X 10.10 Yosemite, к которому мы добавили субъект службы для удаленного доступа к (устаревшему) узлу:

$ kadmin add -r host/a.b.c.d@REALM

Поскольку хост поддерживает только des-cbc-crc ключ шифрования, затем мы попытались (безуспешно) добавить, что:

$ kadmin add_enctype -r host/a.b.c.d@REALM des-cbc-crc
kadmin: bad enctype "des-cbc-crc"

Думая, что DES (вполне разумно) отключен по умолчанию, мы попытались allow_weak_crypto=true в [libdefaults] раздел /var/db/krb5kdc/kdc.conf и перезапустить kdc процесс, но безрезультатно.

Много часов было потрясено, но не принесло плодов. Конечно, Apple не скомпилировала Kerberos без какой-либо поддержки DES? Как мы решаем это?

6

mac-osx kerberos mac-osx-server heimdal

Источник

eggyal 15 дек '14 в 19:07

1 ответ

Решение

Другие вопросы по тегам mac-osx kerberos mac-osx-server heimdal

HopelessN00b 15 дек '14 в 19:17 2014-12-15 19:17 · Accepted Answer · 2014-12-15 19:17

Конечно, Apple не скомпилировала Kerberos без какой-либо поддержки DES?

Ну, на самом деле, похоже, что они сделали в 10.10/Yosemite. И после беспорядка, который они устроили из Kerberos в 10.07/Lion... у вас мои искренние соболезнования

Функциональность, к которой стремится krb5-weak.conf, не понадобится в OS X начиная с Yosemite (10.10) и далее, поскольку Kerberos Yosemite устраняет поддержку типов шифрования 1-DES и, таким образом, allow_weak_crypto не имеет никакого эффекта вообще. (Мы знаем это из-за тестирования бета-версий и общения с Apple; это одна из причин, по которой мы находимся в процессе разработки нашей AFS.)

А вот еще один источник, который содержит удобную ссылку на обновление старых сфер до современных криптоалгоритмов.