4.8. Kerberos

En Red Hat Enterprise Linux 6, los clientes y servidores de Kerberos (incluyendo los KDC) se predeterminarán a no usar las claves para las cifras des-cbc-crc, des-cbc-md4, des-cbc-md5, des-cbc-raw, des3-cbc-raw, des-hmac-sha1 y arcfour-hmac-exp. Por defecto, los clientes no podrán autenticar servicios que tengan este tipo de claves.

La mayoría de servicios pueden tener un nuevo set de claves (incluyendo claves para usar con cifras más fuertes) añadidas a las tablas de claves y experimentar sin tiempo de inactividad y, la concesión de servicio de tiquete de claves puede también ser actualizada a un set que incluya claves con cifras más fuertes, mediante el comando kadmin cpw -keepold.

Como una solución temporal, los sistemas que necesiten continuar usando las cifras más débiles requieren la opción allow_weak_crypto en la sección libdefaults del archivo /etc/krb5.conf. Esta variable se establece a falso de forma predeterminada y se producirá un error de autenticación sin haber activado esta opción:

[libdefaults]
allow_weak_crypto = yes

Adicionalmente, se ha eliminado el soporte para Kerberos IV, como biblioteca compartida disponible y como mecanismo de autenticación oportado en aplicaciones. El soporte recién agregado para políticas de bloqueo requiere un cambio en el formato de volcado de base de datos. Los KDC maestros que necesitan volcar bases de datos a un formato en el cual KDC anteriores puedan consumir, deben ejecutar el comando dump de kdb5_util con la opción -r13.