我正在尝试使用kerberos对用户进行身份验证。我使用setspn -s HTTP/<hostname> <Username>将SPN附加到用户。
然后我使用ktpass命令为上面的SPN附加用户。但生成的keytab文件有多个条目,似乎正在创建多个密钥。
这可能是什么问题?
这是ktpass命令的输出:
密钥创建。
密钥创建。
密钥创建。
密钥创建。
密钥创建。
将keytab输出到c:\ tomcat.keytab:
Keytab版本:0x502
keysize 63 HTTP/[email protected] ptype 0 (KRB5_NT_UNKNOWN) vno 0 etype 0x1 (DES-CBC-CRC) keylength 8 (0xfda423cebf7c97ea)
keysize 63 HTTP/[email protected] ptype 0 (KRB5_NT_UNKNOWN) vno 0 etype 0x3 (DES-CBC-MD5) keylength 8 (0xfda423cebf7c97ea)
keysize 71 HTTP/[email protected] ptype 0 (KRB5_NT_UNKNOWN) vno 0 etype 0x17 (RC4-HMAC) keylength 16 (0x85a6dea042798a45a547f8450e1115fc)
keysize 87 HTTP/[email protected] ptype 0 (KRB5_NT_UNKNOWN) vno 0 etype 0x12 (AES256-SHA1) keylength 32 (0x391f59100fbe0ef1833c141ce3caffa69d3582022fb31643d1b4389f62e32c94)
keysize 71 HTTP/[email protected] ptype 0 (KRB5_NT_UNKNOWN) vno 0 etype 0x11 (AES128-SHA1) keylength 16 (0x4c37bdfdf11b98cd360c332976b5c7bc)
Keytab使服务器可以打开Kerberos票证。此票证以许多算法(encTypes)之一加密。服务器在keytab中查找此encType中的条目。我们希望支持可在域中使用的所有encType。对于每个Keytab中都有一个条目。
有问题的密钥表包含5个主要HTTP /[email protected]条目,按强度/安全性排序:AES256,AES128,RC4和两个DES。 Active Directory中的当前标准是AES(256或128位长)。 RC4仍然很受欢迎。 DES易于破解,默认情况下不再启用。