14.4. Visualisation du type de cryptage de votre clé maîtresse IdM
En tant qu'administrateur Identity Management (IdM), vous pouvez afficher le type de cryptage de votre clé principale IdM, qui est la clé que le Centre de distribution Kerberos (KDC) IdM utilise pour crypter tous les autres principaux lorsqu'ils sont stockés au repos. La connaissance du type de cryptage vous aide à déterminer la compatibilité de votre déploiement avec les normes FIPS.
À partir de RHEL 8.7, le type de chiffrement est aes256-cts-hmac-sha384-192
. Ce type de chiffrement est compatible avec la politique cryptographique FIPS par défaut de RHEL 9 visant à se conformer à la norme FIPS 140-3.
Les types de chiffrement utilisés sur les versions précédentes de RHEL ne sont pas compatibles avec les systèmes RHEL 9 qui adhèrent aux normes FIPS 140-3. Pour rendre les systèmes RHEL 9 en mode FIPS compatibles avec un déploiement RHEL 8 FIPS 140-2, activez la politique cryptographique FIPS:AD-SUPPORT
sur les systèmes RHEL 9.
L'implémentation Active Directory de Microsoft ne prend pas encore en charge les types de chiffrement Kerberos RFC8009 qui utilisent SHA-2 HMAC. Si une confiance IdM-AD est configurée, l'utilisation de la sous-politique cryptographique FIPS:AD-SUPPORT est donc requise même si le type de chiffrement de votre clé principale IdM est aes256-cts-hmac-sha384-192
.
Conditions préalables
-
Vous avez accès à
root
à n'importe laquelle des répliques RHEL 8 dans le déploiement IdM.
Procédure
Sur le réplica, affichez le type de chiffrement sur l'interface de ligne de commande :
# kadmin.local getprinc K/M | grep -E '^Key:' Key: vno 1, aes256-cts-hmac-sha1-96
La clé
aes256-cts-hmac-sha1-96
dans le résultat indique que le déploiement IdM a été installé sur un serveur fonctionnant sous RHEL 8.6 ou une version antérieure. La présence d'une cléaes256-cts-hmac-sha384-192
dans le résultat indique que le déploiement de l'IdM a été installé sur un serveur exécutant RHEL 8.7 ou une version ultérieure.