অ্যাক্টিভ ডিরেক্টরি ব্যবহারকারী অ্যাকাউন্টগুলি কেন স্বয়ংক্রিয়ভাবে কার্বেরোস এএস প্রমাণীকরণ সমর্থন করে না?

8

আমি উইন্ডোজ সার্ভার 2012 আর 2 তে একটি পরীক্ষা ডোমেন নিয়ে ঘুরে বেড়াচ্ছি। আমি সর্বোচ্চ সম্ভাব্য কার্যকরী স্তরে অপারেট করছি এবং আমার ছোট পরীক্ষার পরিবেশে পিছনে-সামঞ্জস্যতার কোনও সমস্যা নেই। তবে, আমি বুঝতে পেরেছি যে আমার কাছে কার্বেরোস এএস প্রমাণীকরণের পক্ষে সমর্থন থাকা সত্ত্বেও এটি কোনও ব্যবহারকারীর জন্য ডিফল্টরূপে সক্ষম নয়। আমাকে আসলে ব্যবহারকারীর বৈশিষ্ট্যে যেতে হবে এবং এটি সক্ষম করতে "এই অ্যাকাউন্টটি কার্বেরোস এএস 128 বিট এনক্রিপশন সমর্থন করে" এবং / অথবা "এই অ্যাকাউন্টটি কার্বেরোস এএস 256 বিট এনক্রিপশন সমর্থন করে" করতে হবে।

("সুরক্ষিত ব্যবহারকারীগণ" গোষ্ঠীতে একটি পরীক্ষা অ্যাকাউন্ট যুক্ত করার সময় আমি প্রথম এটি উপলব্ধি করেছিলাম, যা এইএসের প্রয়োজনের জন্য নীতি নির্ধারণ করে After পরে, আমার সমস্ত নেটওয়ার্ক লগইনগুলি boxes বাক্সগুলি পরীক্ষা না করা পর্যন্ত ব্যর্থ হতে শুরু করে))

আমি অনুভব করেছি যে কয়েকটি সিস্টেমে পিছনের দিকের সামঞ্জস্যতা নিশ্চিত করতে এটি ডিফল্টরূপে অক্ষম হতে পারে তবে আমি এটি ব্যবহারকারীর পক্ষে সক্ষম করার কোনও উপায় বা বর্তমান আচরণের ব্যাখ্যা খুঁজে পাচ্ছি না।

কোন ধারনা?

active-directory  kerberos  windows-server-2012-r2  encryption 
রিড র্যাঙ্কিন
সূত্র

উত্তর:

10

ব্যবহারকারীদের জন্য কার্বেরোস এইএস চেকবক্সগুলি চেক করা প্রাক-ভিস্তার ক্লায়েন্টগুলিতে প্রমাণীকরণের ব্যর্থতার কারণ হতে পারে। এটি সম্ভবত ডিফল্টরূপে সেট করা না হওয়ার কারণ।

কার্বেরোস এইএস সমর্থন চেকবাক্সগুলি একটি অ্যাট্রিবিউটে মান সেট করে msDS-SupportedEncryptionTypes

একাধিক ব্যবহারকারীর জন্য এটি পরিবর্তন করতে, আপনি পাওয়ারশেল এবং অ্যাক্টিভেটরেক্টরি মডিউলটি ব্যবহার করতে পারেন:

# The numerical values for Kerberos AES encryption types to support
$AES128 = 0x8
$AES256 = 0x10

# Fetch all users from an OU with their current support encryption types attribute
$Users = Get-ADUser -Filter * -SearchBase "OU=SecureUsers,OU=Users,DC=domain,DC=tld" -Properties "msDS-SupportedEncryptionTypes"
foreach($User in $Users)
{
    # If none are currently supported, enable AES256
    $encTypes = $User."msDS-SupportedEncryptionType"
    if(($encTypes -band $AES128) -ne $AES128 -and ($encTypes -band $AES256) -ne $AES256)
    {
        Set-ADUser $User -Replace @{"msDS-SupportedEncryptionTypes"=($encTypes -bor $AES256)}
    }
}
ম্যাথিয়াস আর জেসেন
সূত্র
নতুন ব্যবহারকারীদের কাছে এটি ডিফল্টরূপে সেট করার কোনও উপায় আছে কি?
রিড র্যাঙ্কিন
2
আপনি সম্ভবত এডি স্কিমা সংশোধন করে নতুন ব্যবহারকারীদের জন্য এটি ডিফল্ট করতে পারেন। আপনি যদি আরও বিস্তারিত উত্তর চান তবে আপনার সম্ভবত এটি একটি পৃথক প্রশ্ন হিসাবে জিজ্ঞাসা করা উচিত।
রায়ান বোলার
প্রাক-ভিস্তার ক্লায়েন্টগুলি এখন বহু বছর ধরে সমর্থন ছাড়ার পরে, মাইক্রোসফ্ট অবশেষে এমএসডিএস-সমর্থিত এনক্রিপশন টাইপ বৈশিষ্ট্যের অভাবযুক্ত সমস্ত ব্যবহারকারীর জন্য ডিফল্টরূপে এইএস এনক্রিপশন প্রকারগুলি সক্ষম করে দিলে ভাল লাগবে।
মারকাস কুহন
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.