?

Log in

No account? Create an account
Cat-light

klink0v


Блохи в свитере деда Сергеича


Ещё баги в 2012 R2
Cat-light
klink0v
В процессе интегрирования некоторых линуксовых служб в домен AD под управлением контроллеров на Windows 2012 влетел, похоже, вот в этот баг:

http://social.technet.microsoft.com/Forums/en-US/b6ffa278-4a04-4609-ac35-8390f5ba9cb6/ldap-over-ssl-on-windows-2012r2-server-dcs-tls-12-not-working

Поломали они там TLS применительно к LDAP.

Ииииэх, не стоило всё же гоняться за последними версиями софта. Как гласит сисадминская мудрость, винду можно ставить только после того, как для неё выйдет хотя бы один сервис-пак.

Kerberos и AES256 в Windows 2012R2
Cat-light
klink0v

Разобрался почему у меня раньше не удавалось сделать Single Sign On с использованием Kerberos и шифрования сеансовых ключей в AES-256. При этом, шифрование в RC4 работало без нареканий. Как выяснилось, Windows Server 2012 R2 из коробки поддерживает и AES128, и AES256, но по умолчанию они выключены. Чтобы включить, надо для аккаунта установить флаг, см. скриншот.

СкриншотCollapse )

Если хочется ключей с шифрованием AES-256, то подобную процедуру нужно проделать для каждого пользовательского аккаунта и для каждого сервиса, который должен аутентифицировать этих пользователей.

Народ с "serverfault.com" советует использовать для этого вот такой Powershell-скрипт.

СкриптCollapse )

Почему нельзя было включить эти возможности по умолчанию, лично для меня остается великой загадкой.