4.8. Kerberos

In Red Hat Enterprise Linux 6, i server ed i client di kerberos (incluso KDC) assumeranno una impostazione con la quale non saranno usate le chiavi per des-cbc-crc, des-cbc-md4, des-cbc-md5, des-cbc-raw, des3-cbc-raw, des-hmac-sha1, e arcfour-hmac-exp. Per impostazione predefinita i client non saranno in grado di autenticare i servizi in possesso di chiavi di questo tipo.

Molti servizi possono avere un nuovo set di chiavi (incluso chiavi utilizzabili con cifratori più forti) aggiunto al rispettivo keytab senza avere alcuna inattività, e le chiavi del ticket granting service possono essere aggiornate ad un insieme che include chiavi usate con cifratori più forti usando il comando cpw -keepold di kadmin.

Come soluzione temporanea i sistemi che hanno necessità ad usare cifratori più deboli possono usare l'opzione allow_weak_crypto nella sezione libdefaults del file /etc/krb5.conf. Questa variabile è impostata su false per impostazione predefinita, e l'autenticazione fallirà se questa opzione non è abilitata:

[libdefaults]
allow_weak_crypto = yes

In aggiunta, il supporto per Kerberos IV come libreria condivisa disponibile e come meccanismo di autenticazione supportato in applicazioni è stato rimosso. Un nuovo supporto per le politiche di lockout necessita di una modifica al formato di dump del detabase. I KDC master che necessitano di eseguire il dump del database in un formato accettato dai KDC più vecchi, dovranno eseguire il comando dump di kdb5_util con l'opzione -r13.