- PR -

Kerberos認証でdes-cbc-md5を使用したい

1
投稿者投稿内容
84
ベテラン
会議室デビュー日: 2005/11/04
投稿数: 83
投稿日時: 2007-11-13 18:23
表題の通り、
Kerberos認証でdes-cbc-md5を使用したいのですが、
KDC_ETYPE_NO_SUPPORT
となって、認証に失敗してしまいます。

【環境】
Fedora Core 6 2.6.18-1.2798
MIT Kerberos5 1.6.3

【詳細】
クライアントからAS_REQを行う際に、
KDC_ETYPE_NO_SUPPORT
が発生してしまいます。

そのとき、/var/log/krb5kdc.logには以下のようなエラーが出力されています。
/////////////////////////////////////////////////
AS_REQ(1 etypes {3}) 172.27.148.120: BAD_ENCRYPTION_TYPE: admin@TEST.LOCAL for krbtgt/TEST.LOCAL@TEST.LOCAL, KDC has no support for encryption type.
/////////////////////////////////////////////////

KDCがDES-CBC-MD5をサポートできるようにすればいいと思うのですが、
やり方がわかりません。

どなたかご存知の方いらっしゃいましたら
ご教示ください。

よろしくお願いいたします。
blunder
ベテラン
会議室デビュー日: 2003/09/11
投稿数: 65
投稿日時: 2007-11-14 15:25
認証に失敗する原因ははっきりわかりませんが、kdc.confの設定が関係している
かもしれません。
kdc.confのrealmsセクションにsupported_enctypesという項目があるのですが、
どうなっていますか?
このファイルの場所ですが、当方の環境(RHEL4)ですと、/var/kerberos/krb5kdcの
下にあります。
ドキュメントによると、デフォルトはdes3-hmac-sha1:normal des-cbc-crc:normal
だとか。
当方の環境では初めからdes-cbc-md5:normalも入っているようです。
時間がないので、あまり考えずに返答しています。外れていたらごめんなさい。
84
ベテラン
会議室デビュー日: 2005/11/04
投稿数: 83
投稿日時: 2007-11-14 15:58
blunderさん
回答ありがとうございます。

しかし、お教えいただいた方法でもうまくいきません。

kdc.confのrealmsセクションには以下の記載をしてあります。
///////////////////////////////////////
supported_enctypes = des-cbc-md5:normal
///////////////////////////////////////

設定を変更してから、
該当ユーザのパスワードを変更して
鍵を作り直したのですが、
それでも、まだ同じ現象が発生しております。

何か他に方法がないものでしょうか。
blunder
ベテラン
会議室デビュー日: 2003/09/11
投稿数: 65
投稿日時: 2007-11-15 11:40
こちらでも試してみたら同じ現象でした。
回避策は不明です。
1

スキルアップ/キャリアアップ(JOB@IT)