...
Demarrer -> Panneau de configuration -> Système et sécurité -> Outils d'administration -> Stratégies de sécurité locale -> Stratégies locales -> Sécurité réseau : configurer les types de chiffrement autorisés pour Kerberos : DES_CBC_CRC et DES_CBC_MD5.
cf http://technet.microsoft.com/en-us/library/dd560670%28WS.10%29.aspx
NB : cela modifie la clé de registre suivante : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes (et la positionne à 0x03).
...
Mettre la valeur 0x17 (23) dans la clé de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
Sur le serveur kerberos
Malgré les modifications indiquées ci-dessus, les paquets TGS-REP (réponse à une demande de TGS) ne sont pas compris par les postes Windows 7. Le TGS-REP est en effet chiffré en 3DES qui semble -t-il pose problème. Une modification du krb5.conf (sur le serveur kerberos) règle problème :
| Pas de format |
|---|
default_realm = UNIV-RENNES1.FR default_etypes = des3-hmac-sha1 des-cbc-crc default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc #permitted_enctypes = des3-hmac-sha1 des-cbc-crc rc4-hmac permitted_enctypes = des-cbc-crc rc4-hmac ticket_lifetime = 24h forwardable = yes |