为 macOS Sierra 10.12 与 Active Directory 配合使用做好准备
了解将 macOS Sierra 与 Active Directory 配合使用的要求。
你的 Active Directory 管理员应该查阅这些建议,以确定它们是不是适用于你的组织。
如果你认为这一变化对你有影响,请联系你所在机构的系统管理员。
macOS Sierra 上的 Active Directory 用户在“终端”中使用 kinit 命令尝试获取 Kerberos 授权工单的工单 (TGT) 时可能会看到这样一条信息:
Encryption type arcfour-hmac-md5(23) used for authentication is weak and will be deprecated.
如果你看到此信息,则你的 Active Directory 域仅支持对 Kerberos 进行 RC4 加密。由于这种加密类型很弱,因此对 Kerberos 的 RC4 加密支持将在以后的 macOS 版本中移除。
虽然 macOS Sierra Active Directory 客户端会继续使用 RC4,但是你应该配置 Active Directory 域和森林以为 Kerberos 使用 AES-128 或 AES-256 加密,从而确保将来的兼容性。
查明你是否正在使用 AES Kerberos 加密
要确认你是否正在使用 AES Kerberos 加密,你可以将 -e 标记与 kinit 命令配合使用,以在获取 TGT 时明确请求 AES 加密。例如:
kinit -e aes128-cts-hmac-sha1-96 userprinc@TEST.EXAMPLE.COM
如果此命令有效,则你的 Active Directory 环境支持支持 AES-128 Kerberos 加密。如果该命令无效,你将看到一条错误信息:
kinit: krb5_get_init_creds: Preauth required but no preauth options send by KDC
如果你看到此错误,则你的 Active Directory 域不支持 AES 加密,并且在将来与 macOS 客户端不兼容。
了解在升级至 iOS 10 或 macOS Sierra 之前你可能需要协助所在机构为哪些其他变化做好准备。
