4.11. Kerberos


Red Hat Enterprise Linux 6 では、Kerberos のクライアントとサーバー (KDC を含む) は des-cbc-crcdes-cbc-md4des-cbc-md5des-cbc-rawdes3-cbc-rawdes-hmac-sha1arcfour-hmac-exp などの暗号用キーを使用しないようデフォルト設定されます。デフォルトではクライアントはこのようなタイプのキーを持つサービスに対しては認証を行うことができません。
ほとんどのサービスのキータブに新しいキーセット (より強力な暗号で使用するキーも含む) を追加することができるため、 ダウンタイムを発生することがありません。 また、 サービスのキーを与えるチケットも同様に kadmin の cpw -keepold コマンドを使用してより強力な暗号で使用するキーを含んだセットに更新することができます。
弱い暗号の使用を継続する必要のあるシステムは、 一時的な迂回策として /etc/krb5.conf ファイル内の libdefaults セクションに allow_weak_crypto オプションを必要とします。 この変数は、デフォルトでは false にセットしてあるため、 このオプションを有効にしないと認証は失敗します。
[libdefaults]
allow_weak_crypto = yes
また、使用可能な共有ライブラリとしても、アプリケーション内でのサポートされている認証メカニズムとしても、Kerberos IV のサポートは削除されています。ロックアウトポリシー用に新たに追加されたサポートはデータベースダンプ形式に変更が必要となります。旧式の KDC が使用できる形式でデータベースをダンプする必要があるマスターの KDC には、-r13 オプションを付けた kdb5_util の dump コマンドを実行させる必要があります。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.