Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Le KDC Kerberos ne prend pas en charge le type de chiffrement lors de l'obtention des identifiants

ayi

Je configure une authentification apache/SSO avec un AD via Kerberos. 
Mon serveur http est un Debian Wheezy et l’AD est un Windows Server 2012.
J’ai généré des fichiers keytab sur WS2012 avec la commande <code>kpass</code> pour chaque type de chiffrement disponible sur WS2012.
Lorsque j’essaie d’ouvrir une session avec un utilisateur <code>test@DOMAIN.COM</code> via <code>kinit</code>, cela fonctionne.
Lorsque j’essaie d’ouvrir une session avec mon <code>HTTP/web.domain.com@DOMAIN.COM</code>, j’obtiens le message :
<pre><code class="lang-auto">kvno HTTP/web.domain.com@DOMAIN.COM
kvno: KDC has no support for encryption type while getting credentials for HTTP/web.domain.com@DOMAIN.COM

</code></pre>
De plus, lorsque je vérifie le chiffrement utilisé pour <code>test@DOMAIN.COM</code>, j’ai :
<pre><code class="lang-auto">root@SERVER:~# klist -e
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: test@DOMAIN.COM

Valid starting Expires Service principal
03/04/2015 12:48:21 03/04/2015 22:48:17 krbtgt/DOMAIN.COM@DOMAIN.COM
renew until 04/04/2015 12:48:21, Etype (skey, tkt): arcfour-hmac, arcfour-hmac

</code></pre>
J’ai essayé de personnaliser mon <code>/etc/krb5.conf</code> avec :
<pre><code class="lang-auto"> default_tgs_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5
default_tkt_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5

</code></pre>
Et en utilisant le fichier keytab chiffré avec <code>arcfour-hmac</code> sans succès.
Je ne comprends pas comment changer le type de chiffrement utilisé pour communiquer, pourquoi il veut toujours arcfour-hmac et pourquoi quand je lui fournis le chiffrement arcfour-hmac, rien ne change…
Comment être sûr que les modifications de /etc/krb5.conf sont effectives et comment faire fonctionner la génération de tickets Kerberos également ?

ayi_2

Les types de chiffrement pris en charge par un contrôleur de domaine Active Directory sont listés dans l’attribut <code>msDS-SupportedEncryptionTypes</code> de l’objet ordinateur du contrôleur de domaine. Dans une installation par défaut, ils sont généralement quelque chose comme :
<pre><code class="lang-auto">RC4_HMAC_MD5
AES128_CTS_HMAC_SHA1_96
AES256_CTS_HMAC_SHA1_96

</code></pre>
C’est un masque de bits qui donne la valeur décimale 28, donc quelque chose comme <code>00011100</code>.
Donc quand vous demandez pourquoi le contrôleur de domaine « veut toujours uniquement ARC4-HMAC », c’est parce que votre client n’a aucun des deux autres types de chiffrement en commun avec le contrôleur de domaine, ils sont donc éliminés pendant le processus de négociation.
(Remarque : RC4_HMAC_MD5 est vraiment le pire et le plus faible de tous les types de chiffrement possibles ici, mais il est aussi parfois nécessaire pour prendre en charge les scénarios hérités et l’interopérabilité avec les produits non-Microsoft.)
J’ai consulté de la documentation et trouvé un exemple de fichier de configuration d’une autre personne qui pourrait être utile :
<a href="http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos">http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos</a>
<pre><code class="lang-auto">; for Windows 2008 with AES
default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5

</code></pre>
Remarquez que, en plus de prendre en charge de meilleurs types de chiffrement, ils spécifient également <code>rc4-hmac</code> dans leur configuration, ce qui est différent de ce que vous avez, <code>arcfour-hmac-md5</code>. (N’oubliez pas non plus la ligne <code>permitted_enctypes</code>, que je n’ai pas vue dans votre message.)
Je ne suis pas sûr à 100% que cela résoudra votre problème, car je ne suis pas en mesure de le tester maintenant, mais j’espère que cela vous aidera.