Configuration du type de chiffrement de pré-authentification pour l'authentification Kerberos

Pour se connecter à un compte LDAP, un client demande un ticket de service (ticket TGS) au centre de distribution de clés Kerberos V5 (ci-après également « KDC ») et spécifie les algorithmes de chiffrement pris en charge. Le KDC choisit l'algorithme de chiffrement à utiliser. La valeur que vous sélectionnez détermine le type de chiffrement par défaut lors de la phase de pré-authentification.

Des informations plus détaillées sont disponibles dans la documentation Microsoft à l'aide des liens suivants : Network security: Configure encryption types allowed for Kerberos, Kerberos protocol registry entries and KDC configuration keys in Windows.

Pour remplacer le type de chiffrement de pré-authentification par défaut à l'aide de l'éditeur du registre :

1. Sur le contrôleur du domaine Active Directory, appuyez sur la combinaison de touches Win+R, saisissez regedit dans la fenêtre ouverte et cliquez sur Enter.

   La fenêtre Registry Editor s'ouvre.

2. Accédez au chemin suivant : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
3. Pour la clé Parameters, créez un nouveau paramètre de type DWORD (32-bit) value avec le nom DefaultEncryptionType et avec l'une des valeurs suivantes :
   • Pour l'algorithme de chiffrement AES :
     • aes256-cts-hmac-sha1-96 : 18 (valeur décimale) ou 0x12 (valeur hexadécimale). Type de chiffrement recommandé.
     • aes128-cts-hmac-sha1-96: 17 (valeur décimale) ou 0x11 (valeur hexadécimale).
   • Pour l'algorithme de chiffrement RC4, 23 (valeur décimale) ou 0x17 (valeur hexadécimale).
4. Répétez les étapes de 1 à 3 sur chaque contrôleur de domaine Active Directory.

Pour remplacer le type de chiffrement de pré-authentification par défaut à l'aide de PowerShell,

Sur chaque contrôleur de domaine Active Directory, exécutez la commande :

New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters' -Name DefaultEncryptionType –Value 18