Red Hat Summit4.8. Kerberos
Unter Red Hat Enterprise Linux 6 verwenden Kerberos-Clients und -Server (inklusive KDCs) standardmäßig keine Schlüssel für die Chiffren
des-cbc-crc, des-cbc-md4, des-cbc-md5, des-cbc-raw, des3-cbc-raw, des-hmac-sha1 und arcfour-hmac-exp. Standardmäßig können Clients sich nicht bei Diensten authentifizieren, die diese Art von Schlüsseln verwenden.
Zu den meisten Diensten kann ein neues Schlüssel-Set (inklusive Schlüssel zur Verwendung mit stärkeren Chiffren) ohne Ausfallzeit zu ihren Keytabs hinzugefügt werden. Ebenso können die Schlüssel des Dienstes zur Genehmigung eines Tickets mit dem kadmin-Befehl
cpw -keepold auf ein Set aktualisiert werden, das Schlüssel zur Verwendung mit stärkeren Chiffren beinhaltet.
Als vorübergehender Workaround benötigen Systeme, die weiterhin die schwächeren Chiffren verwenden müssen, die Option
Copy to Clipboard
Copied!
Toggle word wrap
Toggle overflow
allow_weak_crypto im Abschnitt libdefaults der Datei /etc/krb5.conf. Diese Variable wird standardmäßig auf false gesetzt und die Authentifizierung scheitert, wenn diese Option nicht aktiviert ist:
[libdefaults] allow_weak_crypto = yes
[libdefaults]
allow_weak_crypto = yes
Zusätzlich wurde die Unterstützung für Kerberos IV (sowohl als eine verfügbare, gemeinsam genutzte Bibliothek, wie auch als unterstützter Authentifizierungsmechanismus in Applikationen) entfernt. Neu hinzugefügte Unterstützung für Lockout-Richtlinien erfordern eine Änderung am Dump-Format der Datenbank. Master-KDCs, die Datenbanken in einem Format dumpen müssen, die ältere KDCs einlesen können, sollten den kdb5_util-Befehl
dump mit der Option -r13 ausführen.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}