L'agent de mot de passe Kerberos (KPA, Kerberos Password Agent) doit être installé et chargé sur le serveur eDirectory sur lequel intervient le changement de mot de passe.
Pour démarrer le KPA, entrez kpa -l.
Pour arrêter le KPA, entrez kpa -u.
Les messages consignés par l'agent de mot de passe sont affichés lorsque la balise Misc est activée dans ndstrace. Les messages sont également consignés dans le fichier journal configuré pour le serveur eDirectory.
IMPORTANT :l'agent de mot de passe Kerberos n'est pas chargé automatiquement lors du redémarrage de la machine ou d'eDirectory. Vous devez le charger manuellement.
Les types de chiffrement et le type de valeur aléatoire (salt) utilisés par l'agent de mot de passe Kerberos pour générer les clés Kerberos à partir du mot de passe universel sont basés sur les éléments suivants :
Si le principal a des clés Kerberos, les types de chiffrement et de valeur aléatoire utilisés pour la génération des clés existantes sont employés afin de générer les nouvelles clés à partir du mot de passe universel.
Si le mot de passe Kerberos n'est pas défini pour le principal, les types de chiffrement et de valeur aléatoire par défaut configurés pour le domaine sont utilisés pour la génération des clés.
Si les types de clé par défaut ne sont pas configurés pour le domaine, ceux utilisés sont DES3-HMAC-SHAI:NORMAL et DES-CBC-CRC:NORMAL.
Voici les types de chiffrement et de valeur aléatoire pris en charge :
DES-CBC-CRC : mode DES cbc avec CRC-32
DES-CBC-MD4 : mode DES cbc avec RSA-MD4
DES-CBC-MD5 : mode DES cbc avec RSA-MD5
DES3-CBC-SHA1-KD : mode triple DES cbc avec HMAC/sha1
AES128-CTS-HMAC-SHA1-96
AES256-CTS-HMAC-SHA1-96
RC4-HMAC
normal : valeur par défaut pour la version 5 de Kerberos
v4 : le seul type utilisé par la version 4 de Kerberos, aucune valeur aléatoire
norealm : identique à la valeur par défaut, sans utiliser les informations de domaine
onlyrealm : utilise uniquement les informations de domaine comme la valeur aléatoire
special : utilisé uniquement dans des cas très spéciaux ; n'est pas entièrement pris en charge