当票证授予服务 (Ticket Granting Service, TGS) 主体仅具有 DES 密钥时,该密钥会将票证授予票证 (Ticket Granting Ticket, TGT) 会话密钥的加密类型限制为 DES。将 KDC 更新到支持更强加密类型的发行版后,必须替换 TGS 主体的 DES 密钥,以便该主体能够为所有会话密钥生成更强的加密。
可以远程替换密钥,也可以在主服务器上替换。您必须是分配了 changepw 特权的 admin 主体。
要从任何 Kerberos 系统替换 TGS 服务主体密钥,请使用 kadmin 命令。
kdc1 % /usr/sbin/kadmin -p kws/admin Enter password: xxxxxxxx kadmin: cpw -randkey krbtgt/EXAMPLE.COM@EXAMPLE.COM Enter TGS key: xxxxxxxx Enter new TGS key:/** Type strong password **/ Re-enter TGS key to verify: xxxxxxxx
cpw 是 change_password 命令的别名。–randkey 选项将提示您提供新口令。
如果以 root 用户身份登录到主 KDC,您可以使用 kadmin.local 命令。该命令将提示您提供新的数据库口令。
kdc1 # kadmin.local -q 'cpw -randkey krbtgt/EXAMPLE.COM@EXAMPLE.COM'