最近的安全更新已开始导致日志中出现以下警告kdc:
krb5kdc[1127011]: Stash file /etc/krb5kdc/stash uses DEPRECATED enctype des3-cbc-sha1
鉴于较新版本的 openSSL 将完全停止支持各种密码,我想在我的 kerberos 系统崩溃之前将此文件更改为未弃用的类型。
如何更改存储文件的加密类型?
我需要在配置中更改哪些内容才能继续读取存储文件?
AskOverflow.Dev
MIT Kerberos 本身计划早在 OpenSSL 之前就放弃对 3DES 的支持。(OpenSSL 不太可能完全放弃 3DES 支持;在 3.0 版本中,它只是转移到“传统”提供商。)
存储文件本身并未加密 - 它拥有一个加密密钥,允许读取 Kerberos 数据库的其余部分。因此,更新它意味着使用新的主密钥重新加密所有主体密钥,然后再次将该密钥存储在存储文件中。
因此,您正在寻找 MIT Kerberos“主密钥轮换”过程,该过程记录在:
简而言之,使用
kdb5_util添加并“使用”新的 mkey,然后用它重新加密现有数据,生成新的存储,最后清除旧的 mkey。(澄清一下,主密钥不是krbtgt密钥,尽管如果您的领域那么旧,它可能也需要轮换。我有一个脚本用于检查哪些主体缺少现代 enctypes 的密钥。)
您可能还会发现“Retiring DES”文档很有用;这是关于单 DES 退役的问题,但大多数程序通常适用于删除任何 enctype: