Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

1.3. Exigences de configuration personnalisée pour IdM

download PDF

Installer un serveur de gestion des identités (IdM) sur un système propre sans aucune configuration personnalisée pour des services tels que DNS, Kerberos, Apache ou Directory Server.

L'installation du serveur IdM écrase les fichiers système pour configurer le domaine IdM. IdM sauvegarde les fichiers système originaux sur /var/lib/ipa/sysrestore/. Lorsqu'un serveur IdM est désinstallé à la fin de son cycle de vie, ces fichiers sont restaurés.

1.3.1. Exigences IPv6 pour l'IdM

Le protocole IPv6 doit être activé dans le noyau du système IdM. Si IPv6 est désactivé, le plug-in CLDAP utilisé par les services IdM ne s'initialise pas.

Note

Il n'est pas nécessaire d'activer IPv6 sur le réseau.

1.3.2. Prise en charge des types de cryptage dans l'IdM

Red Hat Enterprise Linux (RHEL) utilise la version 5 du protocole Kerberos, qui prend en charge des types de chiffrement tels que Advanced Encryption Standard (AES), Camellia et Data Encryption Standard (DES).

Liste des types de cryptage pris en charge

Alors que les bibliothèques Kerberos sur les serveurs et les clients IdM peuvent supporter plus de types de cryptage, le Centre de Distribution Kerberos IdM (KDC) ne supporte que les types de cryptage suivants :

  • aes256-cts:normal
  • aes256-cts:special (par défaut)
  • aes128-cts:normal
  • aes128-cts:special (par défaut)
  • aes128-sha2:normal
  • aes128-sha2:special
  • aes256-sha2:normal
  • aes256-sha2:special
  • camellia128-cts-cmac:normal
  • camellia128-cts-cmac:special
  • camellia256-cts-cmac:normal
  • camellia256-cts-cmac:special

Les types de cryptage RC4 sont désactivés par défaut

Les types de chiffrement RC4 suivants ont été désactivés par défaut dans RHEL 9, car ils sont considérés comme moins sûrs que les nouveaux types de chiffrement AES-128 et AES-256 :

  • arcfour-hmac:normal
  • arcfour-hmac:special

Pour plus d'informations sur l'activation manuelle de la prise en charge de RC4 à des fins de compatibilité avec les anciens environnements Active Directory, voir Assurer la prise en charge des types de chiffrement courants dans AD et RHEL.

La prise en charge du cryptage DES et 3DES a été supprimée

Pour des raisons de sécurité, la prise en charge de l'algorithme DES a été abandonnée dans RHEL 7. Les types de chiffrement Single-DES (DES) et Triple-DES (3DES) ont été supprimés dans RHEL 8 et ne sont pas utilisés dans RHEL 9.

1.3.3. Prise en charge des politiques cryptographiques à l'échelle du système dans l'IdM

IdM utilise la politique cryptographique du système DEFAULT. Cette politique offre des paramètres sécurisés pour les modèles de menace actuels. Elle autorise les protocoles TLS 1.2 et 1.3, ainsi que les protocoles IKEv2 et SSH2. Les clés RSA et les paramètres Diffie-Hellman sont acceptés s'ils ont une longueur d'au moins 2048 bits. Cette politique n'autorise pas les algorithmes DES, 3DES, RC4, DSA, TLS v1.0 et d'autres algorithmes plus faibles.

Note

Vous ne pouvez pas installer un serveur IdM tout en utilisant la politique cryptographique du système FUTURE. Lors de l'installation d'un serveur IdM, assurez-vous que vous utilisez la politique cryptographique du système DEFAULT.

Ressources complémentaires

1.3.4. Conformité FIPS

Vous pouvez installer un nouveau serveur IdM ou un réplica sur un système dont le mode FIPS (Federal Information Processing Standard) est activé.

Pour installer IdM avec FIPS, il faut d'abord activer le mode FIPS sur l'hôte, puis installer IdM. Le script d'installation de l'IdM détecte si le mode FIPS est activé et configure l'IdM pour qu'il n'utilise que des types de chiffrement conformes à la norme FIPS 140-3 :

  • aes128-sha2:normal
  • aes128-sha2:special
  • aes256-sha2:normal
  • aes256-sha2:special

Pour qu'un environnement IdM soit conforme aux normes FIPS, les répliques IdM de all doivent avoir le mode FIPS activé.

Red Hat recommande d'activer également FIPS dans les clients IdM, en particulier si vous êtes susceptible de promouvoir ces clients vers des répliques IdM. En fin de compte, c'est aux administrateurs de déterminer comment ils répondent aux exigences FIPS ; Red Hat n'applique pas les critères FIPS.

Prise en charge de la confiance inter-forêts avec le mode FIPS activé

Pour établir une confiance inter-forêts avec un domaine Active Directory (AD) lorsque le mode FIPS est activé, vous devez vous authentifier avec un compte administratif AD. Vous ne pouvez pas établir de confiance à l'aide d'un secret partagé lorsque le mode FIPS est activé.

Important

L'authentification RADIUS n'est pas conforme aux normes FIPS. N'installez pas IdM sur un serveur dont le mode FIPS est activé si vous avez besoin d'une authentification RADIUS.

Ressources complémentaires

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.