Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Erreur GSSAPI : le KDC ne prend pas en charge le type de chiffrement sur RHEL 8 joint à une forêt AD multi-domaines

ayi

J'ai une configuration simple de forêt multi-domaines MS ADDS avec un domaine parent et un sous-domaine. J'ai joint avec succès un serveur RHEL 8 au sous-domaine en utilisant cette documentation officielle.

Cependant, quand j'essaie d'accéder aux ressources du domaine parent, j'obtiens une erreur GSSAPI indiquant que le KDC ne prend pas en charge le type de chiffrement.

ayi

Les propriétés d'une approbation AD incluent une propriété appelée « The other domain supports Kerberos AES Encryption ». Par défaut, cette option n'est pas cochée. Dans ce scénario, cela signifie que le domaine parent n'est pas en mesure d'offrir les types de chiffrement AES pour Kerberos. Par conséquent, la seule option est RC4, qui est souvent désactivé sur les systèmes RHEL 8 modernes pour des raisons de sécurité.

La solution est d'activer le chiffrement AES Kerberos sur l'approbation entre les deux domaines dans Active Directory Users and Computers.