[samba-jp:22880] keytab and enctypes

[Hiroo Ono (小野寛生)]

小野寛生です。

samba 4.6.11 で Active Directory DC を構成しています。

samba wiki の
https://wiki.samba.org/index.php/Generating_Keytabs

に、Adding Enctypes to an Account という項目があって、これを読むと

net ads enctypes set <ACCOUNTNAME>

を実行すると samba-tool domain exportkeytab で出力される keytab に
aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96
も含められそうに読めるのですが、

1) net ads enctypes set nfs-user を実行
2) samba-tool spn add nfs/IMAGE.OIKUMENE.UKEHI.NET nfs-user を実行
 (ただ、(1) の前に作ってあったものを一度 delete して同じものを作り直しています)
3) samba-tool domain exportkeytab /tmp/nfs.image.keytab
--principal=nfs/IMAGE.OIKUMENE.UKEHI.NET

で keytab を作成して ktutil で見てみたところ
Vno  Type              Principal                                        Aliases
  2  arcfour-hmac-md5  nfs/IMAGE.OIKUMENE.UKEHI.NET ＠ OIKUMENE.UKEHI.NET
  2  des-cbc-md5       nfs/IMAGE.OIKUMENE.UKEHI.NET ＠ OIKUMENE.UKEHI.NET
  2  des-cbc-crc       nfs/IMAGE.OIKUMENE.UKEHI.NET ＠ OIKUMENE.UKEHI.NET

となって aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 は含まれていないようなんですが、
これはそういうものなんでしょうか?

今 FreeBSD 上で NFSv4 + Kerberos の設定で四苦八苦していて、これはそれとはたぶんあまり関係ないのですが、
ちょっと気になりました。