Bonjour,
message d’erreur : kdc has no support for encryption type while getting initial credentials
j’espère avoir de l’aide pour ce deuxième poste…
mon architecture sur wvmare, un poste windows 2003 serveur qui sert de DNS de DHCP, de DC et de Serveur kerberos
un poste debian squeeze faisant office de serveur d’application
et un poste client xp
les utilisateurs répertoriés dans l’Active Directory doivent pouvoir accéder à un service sur le serveur debian
pour ce faire j’ai installer un client kerberos sur mon debian : krb5-user
après avoir configuré krb5.conf
je fais un :
et j’ai le prompt pour renseigner le mot de passe.
ensuite avec un
,
j’ai bien le ticket qui est affiché.
à ce niveau le client kerberos fonctionne bien avec le serveur sur w2003 puisque j’ai les tickets
le souci se trouve au niveau du mappage sur le compte client pour le service , je m’explique.
j’ai créer un utilisateur ( wikikerb) dans l’active directory et générer un fichier keytab par rapport à un mappage sur lui :
C:\Program Files\Support Tools>ktpass -princ HTTP/srvwiki.aviwiki.lum@AVIWIKI.L
UM -mapuser AVIWIKI\wikikerb -mapop set +desonly -pass Password1 -out c:\http.ke
ytab
Targeting domain controller: srvad.aviwiki.lum
Successfully mapped HTTP/srvwiki.aviwiki.lum to wikikerb.
Key created.
Output keytab to c:\http.keytab:
Keytab version: 0x502
keysize 64 HTTP/srvwiki.aviwiki.lum@AVIWIKI.LUM ptype 1 (KRB5_NT_PRINCIPAL) vno
3 etype 0x3 (DES-CBC-MD5) keylength 8 (0xf83bf8159b157c2f)
Account wikikerb has been set for DES-only encryption.
tout c’est bien passé.
j’ai ensuite copier le fichier http.keytab dans mon dossier /etc/apache2/
et lorsque j’essai de tester en faisant :
kinit -k -t /etc/apache2/http.keytab HTTP/srvwiki.aviwiki.lumj’obtiens le message d’erreur : kdc has no support for encryption type while getting initial credentials
lien 1 : http://download.oracle.com/...
instructions suivis :
# javax.security.auth.login.LoginException: KrbException: KDC has no support for encryption type (14) - KDC has no support for encryption type
Cause 1: Your KDC does not support the encryption type requested.
Solution 1: Sun's implementation of Kerberos supports the following encryption types: des-cbc-md5, des-cbc-crc and des3-cbc-sha1.
Applications can select the desired encryption type by specifying following tags in the Kerberos Configuration file krb5.conf:
[libdefaults]
default_tkt_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1
default_tgs_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1
permitted_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1
If not specified, the default value is:
des-cbc-md5 des-cbc-crc des3-cbc-sha1
Cause 2: This exception is thrown when using native ticket cache on some Windows platforms. Microsoft has added a new feature in which they no longer export the session keys for Ticket-Granting Tickets (TGTs). As a result, the native TGT obtained on Windows has an "empty" session key and null EType. The effected platforms include: Windows Server 2003, Windows 2000 Server Service Pack 4 (SP4) and Windows XP SP2.
Solution 2: You need to update the Windows registry to disable this new feature. The registry key allowtgtsessionkey should be added--and set correctly--to allow session keys to be sent in the Kerberos Ticket-Granting Ticket.
On the Windows Server 2003 and Windows 2000 SP4, here is the required registry setting:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Value Name: allowtgtsessionkey
Value Type: REG_DWORD
Value: 0x01 ( default is 0 )
By default, the value is 0; setting it to "0x01" allows a session key to be included in the TGT.
où sur la doc des troubleshooting de kerberos on a :
Possible Causes and Resolutions
In general, this error occurs when the KDC or a client receives a packet that it cannot decrypt. Four possible scenarios are:
* UNIX interoperability scenarios in which the UNIX KDC attempts to use 3DES to encrypt its tickets.
Resolution
The UNIX KDC must be configured to use another encryption type, such as DES or RC4. Windows operating systems do not support 3DES.
* Interoperability scenarios in which the target server does support the encryption type used by the KDC.
Resolution
Configure target server to support the RFC standard encryption type RC4 or contact the vendor.
* Recent migration from Windows NT to Windows Server 2003.
Resolution
Change the password of the user who is having difficulty logging on.
* The administrator account's password has not been changed since the domain was created.
Resolution
Change the administrator's password to eliminate the error.
bref, j’ai effectuer toutes les vérifications et corrections mais c’est toujours pareil
quelqu’un peu t’il m’aider qui s’y connait un peu sur kerberos ?
cdt