17.2. RHEL 8.6 以前で初期化された FIPS モードの IdM デプロイメントに FIPS モードの RHEL 9 レプリカを追加すると失敗する


FIPS 140-3 への準拠を目的としたデフォルトの RHEL 9 FIPS 暗号化ポリシーでは、RFC3961 のセクション 5.1 で定義されている AES HMAC-SHA1 暗号化タイプのキー派生関数の使用が許可されていません。

この制約により、最初のサーバーが RHEL 8.6 以前のシステムにインストールされた FIPS モードの RHEL 8 IdM 環境に、FIPS モードの RHEL 9 IdM レプリカを追加することはできません。これは、AES HMAC-SHA1 暗号化タイプを一般的に使用し、AES HMAC-SHA2 暗号化タイプを使用しない、RHEL 9 と以前の RHEL バージョンの間に共通の暗号化タイプがないためです。

注記

RHEL 8 デプロイメントの最初の IdM サーバーで次のコマンドを入力すると、IdM マスターキーの暗号化タイプを表示できます。

# kadmin.local getprinc K/M | grep -E '^Key:'

出力の文字列に sha1 という用語が含まれている場合、RHEL 9 レプリカで AES HMAC-SHA1 の使用を有効にする必要があります。

RHEL 7 および RHEL 8 サーバーで不足している AES HMAC-SHA2 で暗号化された Kerberos キーを生成するためのソリューションに取り組んでいます。これにより、RHEL 9 レプリカで FIPS 140-3 準拠が達成されます。ただし、このプロセスを完全に自動化することはできません。これは、Kerberos キー暗号化の設計により、既存のキーを別の暗号化タイプに変換することが不可能になるためです。唯一の方法は、ユーザーにパスワードの更新を求めることです。

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.