16.4. IdM マスターキーの暗号化タイプの表示
Identity Management (IdM) 管理者は、IdM マスターキーの暗号化タイプを表示できます。これは、IdM Kerberos Distribution Center (KDC) が保存時に他のすべてのプリンシパルを暗号化するために使用するキーです。暗号化の種類を知ることで、デプロイメントの FIPS 標準との互換性を判断するのに役立ちます。
RHEL 8.7 の時点で、暗号化タイプは aes256-cts-hmac-sha384-192
です。この暗号化タイプは、FIPS 140-3 への準拠を目的としたデフォルトの RHEL 9 FIPS 暗号化ポリシーと互換性があります。
以前の RHEL バージョンで使用されていた暗号化タイプは、FIPS 140-3 標準に準拠する RHEL 9 システムと互換性がありません。FIPS モードの RHEL 9 システムを RHEL 8 FIPS 140-2 デプロイメントと互換性を持たせるには、RHEL 9 システムで FIPS:AD-SUPPORT
暗号化ポリシーを有効にします。
Microsoft の Active Directory 実装は、SHA-2 HMAC を使用する RFC8009 Kerberos 暗号化タイプをまだサポートしていません。したがって、IdM-AD 信頼が設定されている場合、IdM マスターキーの暗号化タイプが aes256-cts-hmac-sha384-192
であっても、FIPS:AD-SUPPORT 暗号サブポリシーの使用が必要になります。
前提条件
-
IdM デプロイメント内の RHEL 8 レプリカのいずれかに
root
アクセス権がある。
手順
レプリカで、コマンドラインインターフェイスで暗号化の種類を表示します。
# kadmin.local getprinc K/M | grep -E '^Key:' Key: vno 1, aes256-cts-hmac-sha1-96
出力の
aes256-cts-hmac-sha1-96
キーは、IdM デプロイメントが RHEL 8.6 以前を実行しているサーバーにインストールされたことを示しています。出力にaes256-cts-hmac-sha384-192
キーが存在する場合、IdM デプロイメントが RHEL 8.7 以降を実行しているサーバーにインストールされたことを示します。