4.8. Kerberos

Unter Red Hat Enterprise Linux 6 verwenden Kerberos-Clients und -Server (inklusive KDCs) standardmäßig keine Schlüssel für die Chiffren des-cbc-crc, des-cbc-md4, des-cbc-md5, des-cbc-raw, des3-cbc-raw, des-hmac-sha1 und arcfour-hmac-exp. Standardmäßig können Clients sich nicht bei Diensten authentifizieren, die diese Art von Schlüsseln verwenden.

Zu den meisten Diensten kann ein neues Schlüssel-Set (inklusive Schlüssel zur Verwendung mit stärkeren Chiffren) ohne Ausfallzeit zu ihren Keytabs hinzugefügt werden. Ebenso können die Schlüssel des Dienstes zur Genehmigung eines Tickets mit dem kadmin-Befehl cpw -keepold auf ein Set aktualisiert werden, das Schlüssel zur Verwendung mit stärkeren Chiffren beinhaltet.

Als vorübergehender Workaround benötigen Systeme, die weiterhin die schwächeren Chiffren verwenden müssen, die Option allow_weak_crypto im Abschnitt libdefaults der Datei /etc/krb5.conf. Diese Variable wird standardmäßig auf false gesetzt und die Authentifizierung scheitert, wenn diese Option nicht aktiviert ist:

[libdefaults]
allow_weak_crypto = yes

Zusätzlich wurde die Unterstützung für Kerberos IV (sowohl als eine verfügbare, gemeinsam genutzte Bibliothek, wie auch als unterstützter Authentifizierungsmechanismus in Applikationen) entfernt. Neu hinzugefügte Unterstützung für Lockout-Richtlinien erfordern eine Änderung am Dump-Format der Datenbank. Master-KDCs, die Datenbanken in einem Format dumpen müssen, die ältere KDCs einlesen können, sollten den kdb5_util-Befehl dump mit der Option -r13 ausführen.