1.17. FIPS モードが有効なサーバーでの Samba の実行

FIPS モードを有効にして Samba を実行する場合、いくつかの制限があります。Samba を実行している Red Hat Enterprise Linux ホストで FIPS モードを有効にすることもできます。

Samba の機能には、Federal Information Processing Standards (FIPS) モードで実行する場合、特定の制限があります。一部のモードは特定の条件下で動作しますが、セキュリティー上の理由から動作が制限されているモードもあります。

以下の Samba モードと機能は、指定された条件下で FIPS モードで動作します。

Samba をドメインメンバーとして使用できるのは、Active Directory (AD) または Red Hat Enterprise Linux Identity Management (IdM) 環境に限定され、かつ Kerberos で Advanced Encryption Standard (AES) 暗号を使用していなければなりません。
Active Directory ドメインメンバーのファイルサーバーとして Samba を使用する。ただし、クライアントは Kerberos を使用してサーバーに対して認証する必要があります。

FIPS のセキュリティーが強化されているため、FIPS モードが有効な場合は、以下の Samba 機能およびモードは機能しません。

RC4 暗号がブロックされていることによる NT LAN Manager (NTLM) 認証
サーバーメッセージブロックバージョン 1 (SMB1) プロトコル
NTLM 認証を使用することによるスタンドアロンファイルサーバーモード
NT4- スタイルのドメインコントローラー
NT4- スタイルのドメインメンバーRed Hat は、IdM がバックグラウンドで使用するプライマリードメインコントローラー (PDC) 機能のサポートを継続することに留意してください。
Samba サーバーに対するパスワード変更Active Directory ドメインコントローラーに対して Kerberos を使用してパスワードの変更のみを実行できます。

以下の機能は FIPS モードでテストされていないため、Red Hat ではサポートされていません。