4.8. Kerberos

Dans Red Hat Enterprise Linux 6, les clients et serveurs Kerberos (y compris les KDC), par défaut, n'utiliseront pas de clés pour les chiffrements des-cbc-crc, des-cbc-md4, des-cbc-md5, des-cbc-raw, des3-cbc-raw, des-hmac-sha1, et arcfour-hmac-exp. Par défaut, les clients ne seront pas en mesure de s'authentifier face aux services possédant des clés de ce type.

La plupart des services peuvent avoir un nouvel ensemble de clés (y compris pour une utilisation avec des chiffrements plus importants) ajouté à leurs « keytabs » et ce sans délai ; les clés du service d'octroi de tickets peut aussi être mis à jour vers un ensemble incluant des clés pour une utilisation avec des chiffrements plus importants, à l'aide de la commande de kadmin cpw -keepold.

Comme solution de contournement, les systèmes nécessitant de continuer à utiliser des chiffrements plus faibles requièrent que l'option allow_weak_cryptosoit incluse dans la section libdefaults du fichier /etc/krb5.conf. Cette variable est définie sur false par défaut, et l'authentification échouera si cette option n'est pas activée :

[libdefaults]
allow_weak_crypto = yes

De plus, le support pour Kerberos IV, en tant que bibliothèque disponible partagée et en tant que mécanisme d'authentification supporté pour les applications, a été supprimé. Un nouveau support ajouté pour les politiques de verrouillage requiert une modification du format de vidage de la base de données. Les KDC-maîtres qui nécessitent de vider des bases de données sous un format que les KDC plus anciens peuvent consommer devraient exécuter la commande dump de kdb5_util avec l'option -r13.