Вопрос или проблема
Я пытаюсь подключить машину RHEL 8 к домену контроллера домена Windows Server 2019 с помощью realmd. Подключение работает как-то, учетная запись компьютера создается в Active Directory, но я не могу войти в машину RHEL, используя учетную запись AD.
Во время подключения к домену возникает не пресекающаяся ошибка (не прерывает realmd):
realmd[...]: ! Не удалось аутентифицироваться с ключом в режиме ключа при определении, какую соль использовать: [email protected]: KDC не поддерживает тип шифрования
Во время выполнения следующая ошибка записывается повторно (возникает снова и снова):
ldap_child[...]: Не удалось инициализировать учетные данные с использованием ключа [MEMORY:/etc/krb5.keytab]: KDC не поддерживает тип шифрования. Не удается создать зашифрованное соединение LDAP с помощью GSSAPI.
Обе ошибки предполагают, что нет соответствующих типов шифрования для Kerberos (“KDC не поддерживает тип шифрования”). Я знаком с этой проблемой и могу подтвердить, что есть соответствующие типы шифрования, а именно:
| Windows | RHEL |
|---|---|
| RC4_HMAC_MD5 | |
| AES128_CTS_HMAC_SHA1_96 | AES128_CTS_HMAC_SHA1_96 |
| AES256_CTS_HMAC_SHA1_96 | AES256_CTS_HMAC_SHA1_96 |
Почему ошибка “KDC не поддерживает тип шифрования” возникает, если на самом деле есть два соответствующих типа шифрования?
Оказалось, что в “последнем” образе Windows Server 2019 (а именно в ноябре 2022 года) есть ошибка Kerberos. Существует исправление для этого, но это исправление не будет установлено автоматически через Windows Update или WSUS. Вам нужно сделать это вручную.
После установки этого исправления RHEL 8 можно успешно подключить к домену. Дальнейшее чтение:
Ответ или решение
При попытке присоединить машину RHEL 8 к домену контроллера домена Windows Server 2019 с использованием инструмента realmd вы столкнулись с ошибками, связанными с аутентификацией и поддержкой шифрования Kerberos. Конкретные ошибки, которые вы наблюдаете, намекают на проблему с совместимостью типов шифрования, а именно: "KDC has no support for encryption type".
Проблема шифрования Kerberos
Как вы указали, существует соответствие между типами шифрования, поддерживаемыми Windows и RHEL. В частности, у вас должны быть поддерживаемые значения:
- RC4_HMAC_MD5
- AES128_CTS_HMAC_SHA1_96
- AES256_CTS_HMAC_SHA1_96
Тем не менее, даже с этими соответствиями, сообщение об ошибке продолжается. Это может происходить по нескольким причинам:
-
Ошибки конфигурации: Проверьте, что файл конфигурации Kerberos (
/etc/krb5.conf) правильно настроен. Убедитесь, что там перечислены те типы шифрования, которые поддерживает ваш контроллер домена. -
Политики безопасности Windows: Установка на контроллере домена может ограничивать или изменять типы разрешенных шифров. Это можно проверить через консоль управления групповой политикой, убедившись, что активированы необходимые настройки для типов шифрования Kerberos.
-
Решение о несовместимости: Как указывалось в вашем описании, с ноября 2022 года существовала известная проблема в Kerberos на Windows Server 2019. Эта проблема может объяснять, почему, несмотря на наличие соответствующих типов шифрования, ошибка продолжает возникать.
Решение проблемы с помощью обновления
Вы упомянули о существовании горячего обновления (hotfix), которое решает проблему, вызванную этой ошибкой Kerberos. Установка этого обновления должна обеспечить полное соответствие между настройками Windows и Linux.
Шаги по установке обновления:
- Загрузите обновление с официального сайта Microsoft.
- Установите обновление вручную, так как оно не будет автоматически установлено через Windows Update или WSUS.
- После установки перезагрузите контроллер домена и повторите попытку присоединения.
Дополнительные шаги
Если проблема не устраняется после установки обновления, проверьте следующие элементы:
- Логи аутентификации Kerberos: Посмотрите логи на контроллере домена (обычно в
Event Viewer), чтобы найти дополнительные подсказки о том, что может идти не так. - Наличие ключей в keytab: Убедитесь, что файл
/etc/krb5.keytabсодержит необходимые ключи для аутентификации с помощью AD. - Проверка сетевых настроек: Убедитесь, что между RHEL и контроллером домена нет сетевых проблем или блокировок, препятствующих аутентификации.
Заключение
Проблема с аутентификацией через keytab и сообщением "KDC has no support for encryption type" напрямую связана с несовпадением или отсутствием необходимых типов шифрования Kerberos. Установка упомянутого обновления должна разрешить эти конфликты и позволить RHEL 8 успешно присоединиться к домену. Регулярно проверяйте документацию Microsoft и следите за обновлениями, так как подобные проблемы могут возникать периодически из-за изменений в политике безопасности или обновлениях на стороне Windows.