Вопрос скорее теоретический, т.к. параноей не страдаю. Есть работающий сабж, кейтаб сгенерирован с шифрованием RC4-HMAC-NT.
Сейчас планируется переход на новый домен на Win2K8R2, клиенты все будут Win7. Решил попробовать отключить в домене неправославный RC4 и оставить для кербероса только AES256-SHA1. Всё что связано с взаимодействиями винды с АД работает хорошо, тикеты генерируются с AES.
Сгенерировал кейтаб для сквида с AES, через kinit -kt keytab HTTP/squid.domain.lan@DOMAIN.LAN авторизация проходит, по klist -e вижу что всё как надо:
# klist -e
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: HTTP/squid.domain.lan@DOMAIN.LAN
Valid starting Expires Service principal
12/02/11 11:06:59 12/02/11 21:07:04 krbtgt/DOMAIN.LAN@DOMAIN.LAN
renew until 12/03/11 11:06:59, Etype (skey, tkt): AES-256 CTS mode with 96-bit SHA-1 HMAC, AES-256 CTS mode with 96-bit SHA-1 HMAC
# cat /etc/krb5.conf
...
default_tgs_enctypes = aes256-cts-hmac-sha1-96
default_tkt_enctypes = aes256-cts-hmac-sha1-96
permitted_enctypes = aes256-cts-hmac-sha1-96
...
Куда копать? Винда виновата? IE? Сквид? mit-krb5?
ЗЫ: Вот тут вроде как подразумевается работа AES: http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos