Voorbereidingen treffen voor macOS Sierra 10.12 met Active Directory

Lees meer over de vereisten voor het gebruik van macOS Sierra met Active Directory.

Gebruikers van Active Directory-op macOS Sierra zien mogelijk een bericht als hieronder wanneer ze proberen een Kerberos Ticket Granting Ticket (TGT) te verkrijgen via het Terminal-commando 'kinit':

Versleutelingstype arcfour-hmac-md5(23) gebruikt voor verificatie is zwak en zal worden afgeschaft.

Als je dit bericht ziet, ondersteunt je Active Directory-account alleen RC4-codering voor Kerberos. Deze codering is kwetsbaar en daarom wordt ondersteuning voor RC4-codering voor Kerberos in een latere versie van macOS verwijderd.

Hoewel Active Directory-clients in macOS Sierra nog steeds RC4 gebruiken, doe je er goed aan je Active Directory-domein en -forest te configureren voor het gebruik van AES-128- of AES-256-codering voor Kerberos, om de compatibiliteit in de toekomst te waarborgen.

Nagaan of je Kerberos-codering met AES gebruikt

Als je wilt controleren of je daadwerkelijk AES Kerberos-codering gebruikt, kun je de vlag '-e' gebruiken bij het commando 'kinit'. Je vraagt daarmee expliciet om AES-codering bij het verkrijgen van een TGT. Bijvoorbeeld:

kinit -e aes128-cts-hmac-sha1-96 userprinc@TEST.EXAMPLE.COM

Als dit commando werkt, ondersteunt je Active Directory-omgeving Kerberos-codering met AES-128. Als het commando niet werkt, zie je een foutbericht als dit:

kinit: krb5_get_init_creds: preauth vereist maar geen preauth-opties verzonden door KDC

Als je deze fout ziet, ondersteunt je Active Directory-domein geen AES-codering en zal het in de toekomst niet compatibel zijn met macOS-clients.

Lees meer over andere wijzigingen waarvoor je instelling voorbereidingen moet treffen voordat updates naar iOS 10 of macOS Sierra worden uitgevoerd.