4.11. Kerberos
Red Hat Enterprise Linux 6 では、Kerberos のクライアントとサーバー (KDC を含む) は
des-cbc-crc
、des-cbc-md4
、des-cbc-md5
、des-cbc-raw
、des3-cbc-raw
、des-hmac-sha1
、arcfour-hmac-exp
などの暗号用キーを使用しないようデフォルト設定されます。デフォルトではクライアントはこのようなタイプのキーを持つサービスに対しては認証を行うことができません。
ほとんどのサービスのキータブに新しいキーセット (より強力な暗号で使用するキーも含む) を追加することができるため、 ダウンタイムを発生することがありません。 また、 サービスのキーを与えるチケットも同様に kadmin の
cpw -keepold
コマンドを使用してより強力な暗号で使用するキーを含んだセットに更新することができます。
弱い暗号の使用を継続する必要のあるシステムは、 一時的な迂回策として
/etc/krb5.conf
ファイル内の libdefaults セクションに allow_weak_crypto
オプションを必要とします。 この変数は、デフォルトでは false にセットしてあるため、 このオプションを有効にしないと認証は失敗します。
[libdefaults] allow_weak_crypto = yes
また、使用可能な共有ライブラリとしても、アプリケーション内でのサポートされている認証メカニズムとしても、Kerberos IV のサポートは削除されています。ロックアウトポリシー用に新たに追加されたサポートはデータベースダンプ形式に変更が必要となります。旧式の KDC が使用できる形式でデータベースをダンプする必要があるマスターの KDC には、
-r13
オプションを付けた kdb5_util の dump
コマンドを実行させる必要があります。