Konfigurace typu šifrování pro předběžné ověření protokolem Kerberos
23. května 2024
ID 272730
Chcete-li se připojit k uživatelskému účtu LDAP, klient požádá o lístek služby (lístek TGS) z centra distribuce klíčů Kerberos V5 (KDC) a zadá podporované algoritmy šifrování. KDC vybere šifrovací algoritmus, který se použije. Vybraná hodnota určuje výchozí typ šifrování použitý v kroku předběžného ověření.
Další informace najdete v dokumentaci společnosti Microsoft: Zabezpečení sítě: Nakonfigurujte typy šifrování povolené pro protokol Kerberos, položky registru protokolu Kerberos a konfigurační klíče KDC v systému Windows.
Postup přepsání výchozího typu šifrování před ověřením pomocí editoru registru:
- Na řadiči domény Active Directory stiskněte Win+R, do okna, které se zobrazí, zadejte
regedit
a stiskněte klávesu Enter.Otevře se okno Editor registru.
- Přejděte na následující klíč: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
- Pro klíč Parameters vytvořte novou hodnotu DWORD (32bitovou) s názvem DefaultEncryptionType s jednou z následujících hodnot:
- Pro šifrovací algoritmus AES:
- aes256-cts-hmac-sha1-96:
18
(v desítkové soustavě) nebo0x12
(v šestnáctkové soustavě). Doporučený typ šifrování. - aes128-cts-hmac-sha1-96:
17
(v desítkové soustavě) nebo0x11 (
v šestnáctkové soustavě)
.
- aes256-cts-hmac-sha1-96:
- U šifrování RC4 je to
23
(dekadicky) nebo0x17
(šestnáctkově).
- Pro šifrovací algoritmus AES:
- Opakujte kroky 1 až 3 v každém řadiči domény služby Active Directory.
Postup přepsání výchozího typu šifrování před ověřením pomocí prostředí PowerShell:
Na každém řadiči domény služby Active Directory spusťte následující příkaz:
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters' -Name DefaultEncryptionType –Value 18