Am o configurare simplă de pădure cu mai multe domenii MS ADDS cu un domeniu părinte și un subdomeniu. M-am alăturat cu succes la un server RHEL 8 la subdomeniu folosind această documentație oficială. Toate sistemele de operare au fost configurate folosind cât mai multe valori implicite posibil. Pot SSH cu succes în serverul RHEL utilizând un cont AD al subdomeniului. Dar când încerc să folosesc un cont al domeniului părinte, autentificarea eșuează. De îndată ce trimit numele de utilizator al domeniului părinte, jurnalctl raporteaza urmatoarea eroare:
sssd_be[...]: Eroare GSSAPI: Eroare GSS nespecificată. Codul minor poate oferi mai multe informații (KDC nu are suport pentru tipul de criptare)
Am verificat DC-urile fiecărui domeniu și pot confirma că toate DC-urile acceptă aceleași trei tipuri de criptare implicite (care sunt stocate în msDS-SupportedEncryptionTypes atributul fiecărui cont de computer DC):
- RC4_HMAC_MD5
- AES128_CTS_HMAC_SHA1_96
- AES256_CTS_HMAC_SHA1_96
De asemenea, am confirmat că RHEL 8 oferă tipuri de criptare adecvate (/etc/crypto-policies/back-ends/krb5.config):
[libdefaults]
permitted_enctypes = aes256-cts-hmac-sha1-96 aes256-cts-hmac-sha384-192 camelia256-cts-cmac aes128-cts-hmac-sha1-96 aes128-cts-hmac-sha256-128-camellia-128
Deci, ar trebui să fie două meciuri: aes128-cts-hmac-sha1-96 și aes256-cts-hmac-sha1-96. După cum am spus deja, funcționează bine pentru subdomeniu. Deci, de ce nu există un tip de criptare adecvat pentru domeniul părinte?
