最近、私はMIT KerberosをMicrosoftのLSA資格キャッシュでうまく動作させるためにいくつかの問題について質問しました。Windows上のKerberos TGTセッションキーがすべて0になる原因
レジストリキーAllowTGTSessionKey
を設定すると問題が解決するはずです。
しかし、私はまだ問題を抱えていますが、今は少し深く掘りました。
この、他のすべての出力の中で、それは示し、(\windows\system32
に、マイクロソフトが提供するklistを使用)klist tgt
の実行:
Session Key : KeyType 0x17 - RSADSI RC4-HMAC(NT)
: KeyLength 16 - 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
ので、セッションキーはまだもそのかかわらず、消されるが上記のレジストリキーが解決するはずだった問題でした。
したがって、以外の条件では、セッションキーが消去される可能性がありますか?
私はすべての種類のユーザーアカウント(ドメイン管理者、ドメインユーザー、UACを有効または無効にする)を試しましたが、何も違いはありません。
だから誰でも問題の原因を知ることができますか?または解決策を知っている(および/または醜いハックの回避策)
リソースキットから 'kerbtray'ツールを試しましたか?彼らはSSPIを使用し、メモリ内のキーにアクセスします。 YMMVとGSS-APIシム –
@ Michael-Oこれは、リソースキットafaikによって提供された 'klist'のように動作し、それはすべてゼロを表示します。それは意味があります、私は、鍵の秘密を保つことの全体のポイントは、よく、秘密を保つことです。それがSSPI経由で取得できる場合、MIT Kerberosまたは他のサードパーティは同じことを行うことができます。 – jalf