34.4. AD および RHEL で一般的な暗号化タイプに対応
デフォルトでは、Identity Management は RC4、AES-128、および AES-256 の Kerberos 暗号化タイプに対応するレルム間の信頼を確立します。さらに、デフォルトでは、SSSD と Samba Winbind は RC4、AES-128、および AES-256 の Kerberos 暗号化タイプに対応します。
RC4 暗号化は、新しい AES-128 および AES-256 暗号化タイプよりも安全性が低いと考えられるため、RHEL 8.3 および RHEL 9 以降では非推奨となり、デフォルトで無効になっています。一方、Active Directory (AD) ユーザーの認証情報と AD ドメイン間の信頼は RC4 暗号化をサポートしており、すべての AES 暗号化タイプには対応していない可能性があります。
一般的な暗号化タイプがないと、RHEL ホストと AD ドメイン間の通信が機能しないか、一部の AD アカウントが認証できない可能性があります。この状況に対処するには、次のセクションで説明する設定のいずれかを実行します。
IdM が FIPS モードの場合、IdM-AD 統合は機能しません。これは、AD は RC4 または AES HMAC-SHA1 暗号化の使用しかサポートしない一方で、FIPS モードの RHEL 9 は、デフォルトでは AES HMAC-SHA2 しか許可しないためです。詳細は、KCS ソリューション AD Domain Users unable to login in to the FIPS-compliant environment を参照してください。
IdM は、より制限の厳しい FIPS:OSPP
暗号化ポリシーはサポートしていません。このポリシーは、Common Criteria で評価されたシステムでしか使用できません。
34.4.1. AD での AES 暗号化の有効化 (推奨)
AD フォレストの Active Directory (AD) ドメイン間の信頼を確保して、強力な AES 暗号化の種類に対応するには、Microsoft の記事 AD DS: Security: Kerberos "Unsupported etype" error when accessing a resource in a trusted domain を参照してください。
34.4.2. GPO を使用した Active Directory で AES 暗号化タイプの有効化
このセクションでは、グループポリシーオブジェクト (GPO) を使用して、Active Directory (AD) で AES 暗号化タイプを有効にする方法を説明します。IdM クライアントで Samba サーバーを実行するなど、RHEL の特定の機能には、この暗号化タイプが必要です。
RHEL は、弱い DES および RC4 の暗号化タイプをサポートしなくなった点に注意してください。
前提条件
- グループポリシーを編集できるユーザーとして AD にログインしている。
- Group Policy Management Console がコンピューターにインストールされている。
手順
- Group Policy Management を開きます。
- Default Domain Policy を右クリックし、Edit を選択します。Group Policy Management Editor を閉じます。
-
Computer Configuration
Policies Windows Settings Security Settings Local Policies Security Options に移動します。 - Network security: Configure encryption types allowed for Kerberos をダブルクリックします。
- AES256_HMAC_SHA1 を選択し、必要に応じて、Future encryption types を選択します。
- OK をクリックします。
- Group Policy Management Editor を閉じます。
- Default Domain Controller Policy に対して手順を繰り返します。
Windows ドメインコントローラー (DC) がグループポリシーを自動的に適用するまで待ちます。または、GPO を DC に手動で適用するには、管理者権限を持つアカウントを使用して次のコマンドを入力します。
C:\> gpupdate /force /target:computer
34.4.3. RHEL での RC4 サポートの有効化
AD ドメインコントローラーに対する認証が行われるすべての RHEL ホストで、以下に概説する手順を実行します。
手順
update-crypto-policies
コマンドを使用して、DEFAULT
暗号化ポリシーに加えAD-SUPPORT
暗号化サブポリシーを有効にします。[root@host ~]# update-crypto-policies --set DEFAULT:AD-SUPPORT Setting system policy to DEFAULT:AD-SUPPORT Note: System-wide crypto policies are applied on application start-up. It is recommended to restart the system for the change of policies to fully take place.
- ホストを再起動します。
AD-SUPPORT
暗号化サブポリシーは、RHEL 8.3 以降でのみ利用できます。
-
RHEL 8.2 以前は RC4 のサポートを有効にするには、
cipher = RC4-128+
でカスタム暗号化モジュールポリシーを作成および有効にします。詳細は、サブポリシーを使用したシステム全体の暗号化ポリシーのカスタマイズ を参照してください。 RHEL 8.0 および RHEL 8.1 で RC4 のサポートを有効にするには、
/etc/crypto-policies/back-ends/krb5.config
ファイルのpermitted_enctypes
オプションに+rc4
を追加します。[libdefaults] permitted_enctypes = aes256-cts-hmac-sha1-96 aes256-cts-hmac-sha384-192 camellia256-cts-cmac aes128-cts-hmac-sha1-96 aes128-cts-hmac-sha256-128 camellia128-cts-cmac +rc4