Configurar el tipo de cifrado para la autenticación previa de Kerberos

Para conectarse a una cuenta de usuario LDAP, el cliente debe obtener un ticket de servicio (ticket TGS) del Centro de distribución de claves Kerberos V5 (KDC) y especificar los algoritmos de cifrados compatibles. El KDC selecciona qué algoritmo de cifrado usar. El valor seleccionado determina el tipo de cifrado predeterminado que se usa en el paso de autenticación previa.

Para obtener más información, consulte la documentación de Microsoft: Network security: Configure encryption types allowed for Kerberos, Kerberos protocol registry entries and KDC configuration keys in Windows.

Para anular el tipo de cifrado de autenticación previa predeterminado mediante el editor de registro:

1. En el controlador de dominio de Active Directory, presione Win+R, introduzca regedit en el cuadro de texto y presione Intro.

   Esto abre la ventana Registry Editor.

2. Navegue hasta la siguiente clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
3. Para la clave Parameters, cree un nuevo valor DWORD (32 bits) llamado DefaultEncryptionType con uno de los siguientes valores:
   • Para el algoritmo de cifrado AES:
     • aes256-cts-hmac-sha1-96: 18 (decimal) o 0x12 (hexadecimal). Tipo de cifrado recomendado.
     • aes128-cts-hmac-sha1-96: 17 (decimal) o 0x11 (hexadecimal).
   • Para el cifrado RC4, es 23 (decimal) o 0x17 (hexadecimal).
4. Repita los pasos 1 a 3 en cada controlador de dominio de Active Directory.

Para anular el tipo de cifrado de autenticación previa predeterminado con PowerShell:

En cada controlador de dominio de Active Directory, ejecute el siguiente comando:

New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters' -Name DefaultEncryptionType –Value 18

Inicio de página