GNU/Linux >> Znalost Linux >  >> Cent OS

„Nepodařilo se ověřit pomocí tabulky klíčů při zjišťování, kterou sůl použít:název hostitele:KDC nemá podporu pro typ šifrování“ – chyba při připojování k doméně

Problém

Klienta CentOS/RHEL 6 se nepodařilo zaregistrovat do domény Active Directory, přičemž příkaz adcli náhodně selhal a do konzole byla zapsána následující chyba:

Couldn't authenticate with keytab while discovering which salt to use: [SERVER$@DOMAIN_NAME]: KDC has no support for encryption type

Následující chyby jsou současně protokolovány do /var/log/messages:

Feb 20 16:23:52 [hostname] [sssd[ldap_child[27134]]]: Failed to initialize credentials using keytab [MEMORY:/etc/krb5.keytab]: KDC has no support for encryption type. Unable to create GSSAPI-encrypted LDAP connection.
Feb 20 16:23:52 [hostname] [sssd[ldap_child[27134]]]: KDC has no support for encryption type
Feb 20 16:23:53 [hostname] sssd[be[AD_DOMAIN_NAME]]: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (KDC has no support for encryption type)
Feb 20 16:23:53 [hostname] sssd[be[AD_DOMAIN_NAME]]: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (KDC has no support for encryption type)

Někdy však následné pokusy o registraci serveru pomocí příkazu adcli byly úspěšně dokončeny, aniž by byly provedeny žádné změny konfigurace klienta CentOS/RHEL.

Řešení

Řadiče domény Windows Active Directory byly nakonfigurovány jako cluster pro redundanci v doméně, nicméně některé řadiče domény byly nakonfigurovány tak, aby vynucovaly specifické šifrovací algoritmy, zatímco jiné nikoli.

To znamená, že pokud se klient CentOS/RHEL pokusil komunikovat s řadičem domény, který vynucoval specifické šifrovací algoritmy, sssd na klientovi Linuxu by selhal, pokud by byl nakonfigurován tak, aby používal jiný šifrovací algoritmus než ty, pro které byl řadič domény nakonfigurován. .

Nakonfigurujte řadiče domény Windows Active Directory i klienty Linux tak, aby používaly odpovídající šifrovací algoritmy. Chcete-li nakonfigurovat šifrovací algoritmy na klientovi Linux, jako například v níže uvedeném příkladu, kde je nastaven algoritmus aes256-cts, proveďte následující:

1. Před provedením jakýchkoli změn v něm zazálohujte konfigurační soubor /etc/krb5.conf.

2. Změňte hodnoty šifrování v /etc/krb5.conf komu:

allow_weak_crypto = false
default_tkt_enctypes = aes256-cts
default_tgs_enctypes = aes256-cts
permitted_enctypes =  aes256-cts

3. Restartujte službu sssd:

Na CentOS/RHEL 6 proveďte:

# service sssd restart

Na CentOS/RHEL 7 proveďte:

# systemctl restart sssd.service

Chcete-li nakonfigurovat šifrovací algoritmy na řadičích domény Windows, kontaktujte správce systému pro řadiče domény Windows a v případě potřeby kontaktujte společnost Microsoft jako příslušného dodavatele softwaru.


Cent OS

  1. Výukový program příkazů typu Linux pro začátečníky (s příklady)

  2. Kurz příkazu typu s příklady pro začátečníky

  3. Jak používat sůl na Centos 8

  1. „yum update“ se nezdařilo s chybovou zprávou „Nelze vyřešit hostitele“ na Centos – zde je oprava

  2. Jakou cestu používá `sudo ` k hledání “?

  3. Jak používat Grep k hledání vzoru, který začíná spojovníkem (-)?

  1. „Předběžná autentizace selhala při získávání počátečních přihlašovacích údajů“ – Chyba Kerberos

  2. „Nepodařilo se ověřit pomocí tabulky klíčů při zjišťování, kterou sůl použít:název hostitele:KDC nemá podporu pro typ šifrování“ – chyba při připojování k doméně

  3. „Reset připojení peerem“ – chyba při ssh do systému CentOS/RHEL pouze s konkrétním uživatelem