4.11. Kerberos

Red Hat Enterprise Linux 6 では、Kerberos のクライアントとサーバー (KDC を含む) は des-cbc-crc、des-cbc-md4、des-cbc-md5、des-cbc-raw、des3-cbc-raw、des-hmac-sha1、arcfour-hmac-exp などの暗号用キーを使用しないようデフォルト設定されます。デフォルトではクライアントはこのようなタイプのキーを持つサービスに対しては認証を行うことができません。

ほとんどのサービスのキータブに新しいキーセット (より強力な暗号で使用するキーも含む) を追加することができるため、 ダウンタイムを発生することがありません。 また、 サービスのキーを与えるチケットも同様に kadmin の cpw -keepold コマンドを使用してより強力な暗号で使用するキーを含んだセットに更新することができます。

弱い暗号の使用を継続する必要のあるシステムは、 一時的な迂回策として /etc/krb5.conf ファイル内の libdefaults セクションに allow_weak_crypto オプションを必要とします。 この変数は、デフォルトでは false にセットしてあるため、 このオプションを有効にしないと認証は失敗します。

[libdefaults]
allow_weak_crypto = yes

また、使用可能な共有ライブラリとしても、アプリケーション内でのサポートされている認証メカニズムとしても、Kerberos IV のサポートは削除されています。ロックアウトポリシー用に新たに追加されたサポートはデータベースダンプ形式に変更が必要となります。旧式の KDC が使用できる形式でデータベースをダンプする必要があるマスターの KDC には、-r13 オプションを付けた kdb5_util の dump コマンドを実行させる必要があります。