Konfigurace typu šifrování pro předběžné ověření protokolem Kerberos

Chcete-li se připojit k uživatelskému účtu LDAP, klient požádá o lístek služby (lístek TGS) z centra distribuce klíčů Kerberos V5 (KDC) a zadá podporované algoritmy šifrování. KDC vybere šifrovací algoritmus, který se použije. Vybraná hodnota určuje výchozí typ šifrování použitý v kroku předběžného ověření.

Další informace najdete v dokumentaci společnosti Microsoft: Zabezpečení sítě: Nakonfigurujte typy šifrování povolené pro protokol Kerberos, položky registru protokolu Kerberos a konfigurační klíče KDC v systému Windows.

Postup přepsání výchozího typu šifrování před ověřením pomocí editoru registru:

1. Na řadiči domény Active Directory stiskněte Win+R, do okna, které se zobrazí, zadejte regedit a stiskněte klávesu Enter.

   Otevře se okno Editor registru.

2. Přejděte na následující klíč: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
3. Pro klíč Parameters vytvořte novou hodnotu DWORD (32bitovou) s názvem DefaultEncryptionType s jednou z následujících hodnot:
   • Pro šifrovací algoritmus AES:
     • aes256-cts-hmac-sha1-96: 18 (v desítkové soustavě) nebo 0x12 (v šestnáctkové soustavě). Doporučený typ šifrování.
     • aes128-cts-hmac-sha1-96: 17 (v desítkové soustavě) nebo 0x11 (v šestnáctkové soustavě).
   • U šifrování RC4 je to 23 (dekadicky) nebo 0x17 (šestnáctkově).
4. Opakujte kroky 1 až 3 v každém řadiči domény služby Active Directory.

Postup přepsání výchozího typu šifrování před ověřením pomocí prostředí PowerShell:

Na každém řadiči domény služby Active Directory spusťte následující příkaz:

New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters' -Name DefaultEncryptionType –Value 18

Na začátek stránky