J’ai un problème Kerberos avec un hôte Linux se connectant à un KDC Windows. Je soupçonne que la clé Kerberos avec la mauvaise version est en cause.
Un moyen d’en être sûr serait de supprimer le SPN et de le recréer, mais c’est dans un environnement de production et je dois déboguer en « lecture seule », si vous voulez.
Comment puis-je récupérer le KVNO Kerberos actuel d’un principal dans Active Directory ?
Je suis sceptique quant au fait que le KVNO ait quelque chose à voir avec votre problème, OK peut-être avec des clients Linux, mais quoi qu’il en soit, utilisez Wireshark/Network Monitor :
Les numéros de version de clé sont décrits dans MS-KILE section 3.1.5.8.
Au passage, Mathias R. Jessen a raison en ce sens que Windows ignore typiquement les KVNO. Mais ils sont quand même implémentés de manière conforme aux RFC.
Dans un environnement avec un ou plusieurs RODC, l’authentification peut échouer lors de
l’interaction avec certains appareils Kerberos basés sur MIT dans l’un des
scénarios suivants.
Le client est un appareil MIT qui a reçu un TGT du
KDC Windows sur le RODC
Le client transmet un TGT généré par le KDC Windows sur le RODC à un
appareil MIT qui utilise ensuite le TGT pour demander un TGS au nom de
l’utilisateur appelant.
Dans les deux scénarios, le TGT aura été émis par un RODC où le msDS-SecondaryKrbTgtNumber associé au compte krbtgt pour ce
RODC aura une valeur supérieure à 32767.