Настройка типа шифрования предварительной проверки подлинности для Kerberos-аутентификации
03 июля 2024
ID 272730
Для подключения к учетной записи LDAP клиент запрашивает служебный билет (TGS-тикет) в Центре распространения ключей Kerberos V5 (далее также "KDC") и указывает поддерживаемые алгоритмы шифрования. KDC выбирает, какой алгоритм шифрования использовать. Выбранное значение определяет тип шифрования по умолчанию на этапе предварительной проверки подлинности.
Более подробную информацию вы можете узнать в документации Microsoft по следующим ссылкам: Network security: Configure encryption types allowed for Kerberos, Kerberos protocol registry entries and KDC configuration keys in Windows.
Чтобы переопределить тип шифрования предварительной проверки подлинности по умолчанию с помощью редактора реестра:
- На контроллере домена Active Directory нажмите комбинацию клавиш Win+R, в открывшемся окне введите
regedit
и нажмите Enter.Откроется окно Registry Editor.
- Перейдите по следующему пути: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
- Для ключа Parameters создайте новый параметр типа DWORD (32-bit) value с именем DefaultEncryptionType и с одним из перечисленных ниже значений:
- Для алгоритма шифрования AES:
- aes256-cts-hmac-sha1-96:
18
(десятичное значение) или0x12
(шестнадцатеричное значение). Рекомендуемый тип шифрования. - aes128-cts-hmac-sha1-96:
17
(десятичное значение) или0x11
(
шестнадцатеричное значение).
- aes256-cts-hmac-sha1-96:
- Для алгоритма шифрования RC4 –
23
(десятичное значение) или0x17
(шестнадцатеричное значение).
- Для алгоритма шифрования AES:
- Повторите шаги 1-3 на каждом контроллере домена Active Directory.
Чтобы переопределить тип шифрования предварительной проверки подлинности по умолчанию с помощью PowerShell,
на каждом контроллере домена Active Directory выполните команду:
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters' -Name DefaultEncryptionType –Value 18