Kerberos 事前認証の暗号化タイプの設定
Kerberos 事前認証の暗号化タイプの設定
2024年5月23日
ID 272730
LDAP ユーザーアカウントに接続するために、クライアントはKerberos V5 Key Distribution Center(KDC)からサービスチケット(TGS チケット)を要求し、サポートされている暗号化アルゴリズムを指定します。KDC が使用する暗号化アルゴリズムを選択します。選択した値によって、事前認証ステップで使用される既定の暗号化タイプが決まります。
詳細は、Microsoft のドキュメントを参照してください:『Network security: Configure encryption types allowed for Kerberos』『Windows の Kerberos プロトコル レジストリ エントリと KDC 構成キー』。
レジストリエディターを使用して既定の認証前暗号化の種類を上書きするには:
- Active Directory ドメインコントローラーで、 Win + R を押し、テキストボックスに「
regedit
」と入力して、 Enter を押します。これにより、[レジストリエディター]ウィンドウが開きます。
- 次のキーに移動します:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
- [Parameters]キーについては、次のいずれかの値を使用して、 「DefaultEncryptionType」という名前の新しい DWORD(32 ビット)値を作成します。
- AES 暗号化アルゴリズムの場合:
- aes256-cts-hmac-sha1-96:
18
(10 進数)または0x12
(16 進数)。推奨される暗号化タイプ。 - aes128-cts-hmac-sha1-96:
17
(10 進数)または0x11(
16 進数)
。
- aes256-cts-hmac-sha1-96:
- RC4 暗号化の場合、
23
(10 進数)または0x17
(16 進数)です。
- AES 暗号化アルゴリズムの場合:
- 各 Active Directory ドメインコントローラーで手順 1 ~ 3 を繰り返します。
PowerShell を使用して既定の事前認証暗号化の種類を上書きするには:
各 Active Directory ドメインコントローラーで、次のコマンドを実行します:
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters' -Name DefaultEncryptionType –Value 18
この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。