17.2. RHEL 8.6 以前で初期化された FIPS モードの IdM デプロイメントに FIPS モードの RHEL 9 レプリカを追加すると失敗する
FIPS 140-3 への準拠を目的としたデフォルトの RHEL 9 FIPS 暗号化ポリシーでは、RFC3961 のセクション 5.1 で定義されている AES HMAC-SHA1 暗号化タイプのキー派生関数の使用が許可されていません。
この制約により、最初のサーバーが RHEL 8.6 以前のシステムにインストールされた FIPS モードの RHEL 8 IdM 環境に、FIPS モードの RHEL 9 IdM レプリカを追加することはできません。これは、AES HMAC-SHA1 暗号化タイプを一般的に使用し、AES HMAC-SHA2 暗号化タイプを使用しない、RHEL 9 と以前の RHEL バージョンの間に共通の暗号化タイプがないためです。
RHEL 8 デプロイメントの最初の IdM サーバーで次のコマンドを入力すると、IdM マスターキーの暗号化タイプを表示できます。
# kadmin.local getprinc K/M | grep -E '^Key:'
出力の文字列に sha1
という用語が含まれている場合、RHEL 9 レプリカで AES HMAC-SHA1 の使用を有効にする必要があります。
RHEL 7 および RHEL 8 サーバーで不足している AES HMAC-SHA2 で暗号化された Kerberos キーを生成するためのソリューションに取り組んでいます。これにより、RHEL 9 レプリカで FIPS 140-3 準拠が達成されます。ただし、このプロセスを完全に自動化することはできません。これは、Kerberos キー暗号化の設計により、既存のキーを別の暗号化タイプに変換することが不可能になるためです。唯一の方法は、ユーザーにパスワードの更新を求めることです。