Tôi có một thiết lập rừng đa miền MS ADDS đơn giản với miền chính và một miền phụ. Tôi đã tham gia thành công máy chủ RHEL 8 vào miền phụ bằng cách sử dụng tài liệu chính thức này. Tất cả các hệ điều hành đã được thiết lập bằng cách sử dụng càng nhiều giá trị mặc định càng tốt. Tôi có thể SSH thành công vào máy chủ RHEL bằng cách sử dụng tài khoản AD của tên miền phụ. Nhưng khi tôi cố gắng sử dụng tài khoản của miền mẹ thì đăng nhập không thành công. Ngay sau khi tôi gửi tên người dùng của miền mẹ, tạp chí báo cáo lỗi sau:
sssd_be[...]: Lỗi GSSAPI: Lỗi GSS không xác định. Mã nhỏ có thể cung cấp thêm thông tin (KDC không hỗ trợ loại mã hóa)
Tôi đã kiểm tra các DC của từng miền và có thể xác nhận rằng tất cả các DC đều hỗ trợ ba loại mã hóa mặc định giống nhau (được lưu trữ trong msDS-SupportedEncryptionTypes thuộc tính của từng tài khoản máy tính DC):
- RC4_HMAC_MD5
- AES128_CTS_HMAC_SHA1_96
- AES256_CTS_HMAC_SHA1_96
Tôi cũng xác nhận rằng RHEL 8 cung cấp các loại mã hóa phù hợp (/etc/crypto-policies/back-ends/krb5.config):
[libdefaults]
allow_enctypes = aes256-cts-hmac-sha1-96 aes256-cts-hmac-sha384-192 camellia256-cts-cmac aes128-cts-hmac-sha1-96 aes128-cts-hmac-sha256-128 camellia128-cts-cmac
Vì vậy, nên có hai trận đấu: aes128-cts-hmac-sha1-96 và aes256-cts-hmac-sha1-96. Như tôi đã nói, nó hoạt động tốt cho tên miền phụ. Vì vậy, tại sao không có loại mã hóa phù hợp cho miền mẹ?
