GNU/Linux >> Belajar Linux >  >> Cent OS

“Tidak dapat mengautentikasi dengan keytab saat menemukan garam mana yang akan digunakan:nama host:KDC tidak memiliki dukungan untuk jenis enkripsi” – kesalahan saat bergabung dengan domain

Masalahnya

Klien CentOS/RHEL 6 gagal didaftarkan di domain Active Directory, dengan perintah adcli gagal secara acak dengan kesalahan berikut yang ditulis ke konsol:

Couldn't authenticate with keytab while discovering which salt to use: [SERVER$@DOMAIN_NAME]: KDC has no support for encryption type

Kesalahan berikut dicatat secara bersamaan ke /var/log/messages:

Feb 20 16:23:52 [hostname] [sssd[ldap_child[27134]]]: Failed to initialize credentials using keytab [MEMORY:/etc/krb5.keytab]: KDC has no support for encryption type. Unable to create GSSAPI-encrypted LDAP connection.
Feb 20 16:23:52 [hostname] [sssd[ldap_child[27134]]]: KDC has no support for encryption type
Feb 20 16:23:53 [hostname] sssd[be[AD_DOMAIN_NAME]]: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (KDC has no support for encryption type)
Feb 20 16:23:53 [hostname] sssd[be[AD_DOMAIN_NAME]]: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (KDC has no support for encryption type)

Namun, terkadang upaya berikutnya untuk mendaftarkan server melalui perintah adcli berhasil diselesaikan, tanpa perubahan konfigurasi yang dilakukan pada klien CentOS/RHEL.

Solusinya

Windows Active Directory Domain Controllers dikonfigurasi sebagai cluster untuk redundansi pada domain, namun, beberapa pengontrol domain dikonfigurasi untuk menerapkan algoritma enkripsi tertentu, sementara yang lain tidak.

Ini berarti bahwa jika klien CentOS/RHEL mencoba berkomunikasi dengan Pengontrol Domain yang menerapkan algoritme enkripsi tertentu, sssd pada klien Linux akan gagal jika dikonfigurasi untuk menggunakan algoritme enkripsi yang berbeda dengan yang dikonfigurasi untuk diterapkan oleh pengontrol Domain .

Konfigurasikan pengontrol domain Windows Active Directory dan klien Linux untuk menggunakan algoritma enkripsi yang cocok. Untuk mengonfigurasi algoritme enkripsi pada klien Linux, seperti pada contoh di bawah ini di mana algoritme aes256-cts disetel, lakukan hal berikut:

1. Cadangkan file konfigurasi /etc/krb5.conf sebelum melakukan perubahan apa pun..

2. Ubah nilai enkripsi di /etc/krb5.conf ke:

allow_weak_crypto = false
default_tkt_enctypes = aes256-cts
default_tgs_enctypes = aes256-cts
permitted_enctypes =  aes256-cts

3. Mulai ulang layanan sssd:

Pada CentOS/RHEL 6, lakukan:

# service sssd restart

Pada CentOS/RHEL 7, lakukan:

# systemctl restart sssd.service

Untuk mengonfigurasi algoritme enkripsi pada pengontrol domain Windows, harap hubungi administrator sistem untuk pengontrol domain Windows, dan jika perlu, hubungi Microsoft untuk mendapatkan bantuan, sebagai vendor perangkat lunak yang relevan.


Cent OS

  1. 'yum update' Gagal dengan pesan kesalahan "Tidak dapat menyelesaikan host" di Centos - Inilah Perbaikannya

  2. Instal ekstensi MySQLnd untuk PHP 7.2.3 di PPC64LE dengan CentOS 7

  3. Bagaimana Menggunakan Grep Untuk Mencari Pola Yang Dimulai Dengan Tanda hubung (-)?

  1. Ikat ke port 22 pada 0.0.0.0 gagal:alamat sudah digunakan – kesalahan saat memulai layanan sshd CentOS/RHEL

  2. Kesalahan "peta sedang digunakan" saat menghapus perangkat multipath di CentOS/RHEL

  3. Kesalahan:Alamat sudah digunakan saat mengikat soket dengan alamat tetapi nomor port ditampilkan gratis oleh `netstat`

  1. Tutorial Perintah tipe Linux untuk Pemula (dengan Contoh)

  2. Debian vs. Ubuntu untuk Penggunaan Server, Mana yang Harus Dipilih

  3. Tutorial Perintah Mengetik Dengan Contoh Untuk Pemula