2.3. Assurer la prise en charge des types de chiffrement courants dans AD et RHEL
Par défaut, Samba Winbind prend en charge les types de chiffrement Kerberos RC4, AES-128 et AES-256.
Le cryptage RC4 a été déprécié et désactivé par défaut, car il est considéré comme moins sûr que les nouveaux types de cryptage AES-128 et AES-256. En revanche, les informations d'identification des utilisateurs d'Active Directory (AD) et les liens de confiance entre les domaines AD prennent en charge le cryptage RC4 et peuvent ne pas prendre en charge les types de cryptage AES.
En l'absence de types de chiffrement communs, la communication entre les hôtes RHEL et les domaines AD risque de ne pas fonctionner, ou certains comptes AD risquent de ne pas pouvoir s'authentifier. Pour remédier à cette situation, modifiez l'une des configurations suivantes :
- Activer la prise en charge du cryptage AES dans Active Directory (option recommandée)
- Pour s'assurer que les trusts entre les domaines AD dans une forêt AD prennent en charge les types de cryptage AES fort, voir l'article Microsoft suivant : AD DS : Security : Erreur Kerberos "Unsupported etype" lors de l'accès à une ressource dans un domaine de confiance
- Activer la prise en charge de RC4 dans RHEL
- Sur chaque hôte RHEL où l'authentification contre les contrôleurs de domaine AD a lieu :
Utilisez la commande
update-crypto-policiespour activer la sous-politique cryptographiqueAD-SUPPORT-LEGACYen plus de la politique cryptographiqueDEFAULT.[root@host ~]# update-crypto-policies --set DEFAULT:AD-SUPPORT-LEGACY Setting system policy to DEFAULT:AD-SUPPORT-LEGACY Note: System-wide crypto policies are applied on application start-up. It is recommended to restart the system for the change of policies to fully take place.- Redémarrer l'hôte.
Ressources supplémentaires
