Хвостат Хвостатыч (hvostat_hvostat) wrote,
Хвостат Хвостатыч
hvostat_hvostat

Category:

Kerberos и AES256 в Windows 2012R2

Стас klink0v раскопал прекрасное:

Разобрался почему у меня раньше не удавалось сделать Single Sign On с использованием Kerberos и шифрования сеансовых ключей в AES-256. При этом, шифрование в RC4 работало без нареканий. Как выяснилось, Windows Server 2012 R2 из коробки поддерживает и AES128, и AES256, но по умолчанию они выключены. Чтобы включить, надо для аккаунта установить флаг, см. скриншот.

Если хочется ключей с шифрованием AES-256, то подобную процедуру нужно проделать для каждого пользовательского аккаунта и для каждого сервиса, который должен аутентифицировать этих пользователей.

Народ с "serverfault.com" советует использовать для этого вот такой Powershell-скрипт.

Почему нельзя было включить эти возможности по умолчанию, лично для меня остается великой загадкой.

Tags: kerberos, windows 2012r2, windows server
Subscribe

  • "Электронные письма и гарантии"

    Пару дней назад поступила задача подфайнтюнить почтовый севервер заказчика. С некоторым испугом осознал, что последний раз тюнил почтовик очень давно…

  • "Неверный пароль при импорте *.pfx"

    Проблема: При попытке импортировать свежеэкспортированный файл сертификата PFX, получаем отлуп "неверный пароль". При этом имеется уверенность,…

  • "Лечение паранойи по протоколу SSH"

    Если вы вынуждены "торчать" SSH наружу, то помимо ОБЯЗАТЕЛЬНОГО(!!!) использования fail2ban, можете еще успокоить свою паранойю, добавив в…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments