我最近提出了一个问题,涉及我在让 MIT Kerberos 与 Microsoft 的 LSA 凭据缓存良好配合时遇到的一些问题。
有人告诉我,设置注册表项 AllowTGTSessionKey 应该可以解决该问题。
但是,我仍然遇到问题,现在我更深入地研究了。
运行klist tgt(使用 Microsoft 在 \windows\system32 中提供的 klist),它在所有其他输出中显示:
Session Key : KeyType 0x17 - RSADSI RC4-HMAC(NT)
: KeyLength 16 - 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
因此, session key 仍然被清空,尽管这是上面提到的注册表项应该解决的问题。
那么哪些其他条件可能会导致 session key 被清空?
我现在已经尝试过各种用户帐户(域管理员、域用户、启用或未启用 UAC),但似乎没有什么区别。
那么,有谁知道问题出在哪里吗?或者知道解决方案(和/或丑陋的黑客解决方法)
最佳答案
好吧,看起来我已经有了(相当愚蠢的)答案。
有问题的注册表项 (AllowTGTSessionKey) 仅由 Windows 在启动时读取。
所以设置完成后....你必须重新启动!
然后您将获得有效的 session key 。
关于kerberos - 什么可能导致 Windows 上的 Kerberos TGT session key 全为零,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8897631/