Настройка типа шифрования предварительной проверки подлинности для Kerberos-аутентификации

Для подключения к учетной записи LDAP клиент запрашивает служебный билет (TGS-тикет) в Центре распространения ключей Kerberos V5 (далее также "KDC") и указывает поддерживаемые алгоритмы шифрования. KDC выбирает, какой алгоритм шифрования использовать. Выбранное значение определяет тип шифрования по умолчанию на этапе предварительной проверки подлинности.

Более подробную информацию вы можете узнать в документации Microsoft по следующим ссылкам: Network security: Configure encryption types allowed for Kerberos, Kerberos protocol registry entries and KDC configuration keys in Windows.

Чтобы переопределить тип шифрования предварительной проверки подлинности по умолчанию с помощью редактора реестра:

1. На контроллере домена Active Directory нажмите комбинацию клавиш Win+R, в открывшемся окне введите regedit и нажмите Enter.

   Откроется окно Registry Editor.

2. Перейдите по следующему пути: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
3. Для ключа Parameters создайте новый параметр типа DWORD (32-bit) value с именем DefaultEncryptionType и с одним из перечисленных ниже значений:
   • Для алгоритма шифрования AES:
     • aes256-cts-hmac-sha1-96: 18 (десятичное значение) или 0x12 (шестнадцатеричное значение). Рекомендуемый тип шифрования.
     • aes128-cts-hmac-sha1-96: 17 (десятичное значение) или 0x11 (шестнадцатеричное значение).
   • Для алгоритма шифрования RC4 – 23 (десятичное значение) или 0x17 (шестнадцатеричное значение).
4. Повторите шаги 1-3 на каждом контроллере домена Active Directory.

Чтобы переопределить тип шифрования предварительной проверки подлинности по умолчанию с помощью PowerShell,

на каждом контроллере домена Active Directory выполните команду:

New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters' -Name DefaultEncryptionType –Value 18