Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Problembeschreibung
In einer Active Directory-Domäne Services (AD DS)-Umgebung erhalten linuxintegrierte Konten RC4-verschlüsselte Tickets anstelle von AES-verschlüsselten Tickets (Advanced Encryption Standard), wenn sie kerberos-Authentifizierung verwenden. Um dieses Problem zu beheben, wechseln Sie zum Key Distribution Center (KDC).
Im Protokoll der Ereignis-ID 4769 wird der Wert des Ticketverschlüsselungstyps für den betroffenen Computer 0x17. Das entspricht einem RC4-Verschlüsselungstyp.
Source: Microsoft-Windows-Security-Auditing Event ID: 4769 Task Category: Kerberos Service Ticket Operations Level: Information Computer: MyDC.contoso.com Description: A Kerberos service ticket was requested. … Service Information: Service Name: MYLINUX Service ID: CONTOSO\MYLINUX Network Information: Client Address: ::ffff:10.20.30.40 Client Port: 57499 Additional Information: Ticket Options: 0x40810000 Ticket Encryption Type: 0x17 Failure Code: 0x0 Transited Services: -Nachdem Sie den
klistBefehl ausgeführt haben, lautet der Wert des KerbTicket-Verschlüsselungstyps RSADSI RC4-HMAC(NT). Das bedeutet, dass der Verschlüsselungstyp RC4 ist.C:\> Klist get MYLINUX@CONTOSO.COM Current LogonId is 0:0xb532bccf A ticket to MYLINUX@CONTOSO.COM has been retrieved successfully. Cached Tickets: (2) … #1> Client: MyUser@CONTOSO.COM Server: MYLINUX@CONTOSO.COM KerbTicket Encryption Type: RSADSI RC4-HMAC(NT) Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize Start Time: <DateTime> (local) End Time: <DateTime> (local) Renew Time: <DateTime> (local) Session Key Type: AES-256-CTS-HMAC-SHA1-96 Cache Flags: 0 Kdc Called: MyDC.Contoso.com
Notiz
Das Festlegen des Attributwerts msDS-SupportedEncryptionTypes auf 24 (0x18) zum Erzwingen der AES256- oder AES128-Verschlüsselung löst das Problem nicht. Ebenso wird das Problem durch deaktivieren der RC4-Verschlüsselung und das Aktivieren der AES-Verschlüsselung mithilfe der Netzwerksicherheit nicht behoben: Konfigurieren von verschlüsselungstypen, die für das Kerberos-Gruppenrichtlinienobjekt (GPO ) zulässig sind.
Ursache
Dieses Problem tritt auf, da der Wert des operatingSystemVersion-Attributs von Linux auf 3.10.0x festgelegt ist. AD DS liest den Attributwert von links nach rechts und beendet am ersten Dezimalkomma (.) Wenn das erste Zeichen des Werts eine Ziffer ist und der Wert kleiner als sechs ist, bestimmt der KDC, dass das anfordernde Betriebssystem möglicherweise keine neueren Verschlüsselungstypen unterstützt. In diesem Fall ist der Wert 3. Daher ignoriert der KDC msDS-SupportedEncryptionTypes und verwendet RC4 zum Verschlüsseln des Tickets.
Dieses Verhalten ist beabsichtigt. Es unterstützt ältere Versionen von Windows (einschließlich Windows 2000 Server, Windows Server 2003 und Windows XP), die das MsDS-SupportedEncryptionTypes-Attribut oder den AES-Verschlüsselungstyp nicht unterstützen. Die folgenden Spezifikationen beschreiben dieses Design:
Wenn der Server oder Dienst über ein KerbSupportedEncryptionTypes-Attribut verfügt, das mit unterstützten Verschlüsselungstypen<58> aufgefüllt wird, sollte<der KDC 59> im verschlüsselten Teil ([Referrals-11] Anhang A) der TGS-REP-Nachricht zurückgeben, eine PA-DATA-Struktur, die auf PA-SUPPORTED-ENCTYPES [165] festgelegt ist, um anzugeben, welche Verschlüsselungstypen (Abschnitt 2.2.7.7)) werden vom Server oder Dienst unterstützt. Andernfalls sollte<der KDC 60> das UseDESOnly-Flag des Server- oder Dienstkontos überprüfen.
<58> Abschnitt 3.3.5.7: Wenn das Konto ein Computerobjekt ist und der Wert von OperatingSystemVersion ([MS-ADA3] Abschnitt 2.56) kleiner als 6 ist, wird KerbSupportedEncryptionTypes so behandelt, als wäre es nicht aufgefüllt. Mit diesem Ansatz wird sichergestellt, dass neuere Verschlüsselungstypen nicht versucht werden, wenn der anfordernde Computer Windows 2000, Windows XP oder Windows Server 2003 ausführt. Diese Systeme unterstützen das Festlegen von KerbSupportedEncryptionTypes nicht.
Weitere Informationen finden Sie in den Spezifikationen in TGS Exchange und Anhang A <58> der Kerberos-Protokollerweiterungen.
Lösung
Sie können dieses Problem mit einer der folgenden Methoden beheben:
- Entfernen Sie das operatingSystemVersion-Attribut .
- Legen Sie den Attributwert so fest, dass das erste Zeichen keine numerische Ziffer ist. Legen Sie beispielsweise den Wert auf Linux 3.10.0x anstelle von 3.10.0x fest.
- Aktualisieren Sie auf eine aktualisierte Systemversion, die den Spezifikationen entspricht. Rufen Sie das Update vom Drittanbieter ab (z. B. Linux).
Weitere Informationen dazu, wie der KDC den Verschlüsselungstyp auswählt, finden Sie unter Verschlüsselungstypauswahl in Kerberos-Austausch.