19.3. Assurer la conformité FIPS d'une réplique RHEL 9 rejoignant un environnement IdM RHEL 8
Si RHEL Identity Management (IdM) a été installé à l'origine sur un système RHEL 8.6 ou antérieur, les types de chiffrement AES HMAC-SHA1
qu'il utilise ne sont pas pris en charge par défaut par RHEL 9 en mode FIPS. Pour ajouter une réplique RHEL 9 en mode FIPS au déploiement, vous devez activer ces clés de chiffrement sur le système RHEL 9 en définissant la stratégie cryptographique sur FIPS:AD-SUPPORT
.
En définissant la politique cryptographique sur FIPS:AD-SUPPORT
, vous ajoutez la prise en charge des types de chiffrement suivants :
-
aes256-cts:normal
-
aes256-cts:special
-
aes128-cts:normal
-
aes128-cts:special
Conditions préalables
- Vous avez activé le mode FIPS sur votre système RHEL 9.
- Vous souhaitez configurer le système RHEL 9 en tant que réplique IdM pour votre environnement IdM RHEL 8 en mode FIPS.
Le type de cryptage de votre clé principale IdM n'est pas
aes256-cts-hmac-sha384-192
. Pour plus d'informations, consultez le type de cryptage de votre clé principale IdM.NoteL'implémentation Active Directory de Microsoft ne prend pas encore en charge les types de chiffrement Kerberos RFC8009 qui utilisent SHA-2 HMAC. Si une confiance IdM-AD est configurée, l'utilisation de la sous-politique cryptographique FIPS:AD-SUPPORT est donc requise même si le type de chiffrement de votre clé principale IdM est
aes256-cts-hmac-sha384-192
.
Procédure
Sur le système RHEL 9, activez l'utilisation des types de chiffrement
AES HMAC-SHA1
:# update-crypto-policies --set FIPS:AD-SUPPORT