19.3. RHEL 8 IdM 環境に参加する RHEL 9 レプリカの FIPS コンプライアンスの確保
RHEL Identity Management (IdM) が最初に RHEL 8.6 以前のシステムにインストールされていた場合、それが使用する AES HMAC-SHA1
暗号化タイプは、FIPS モードの RHEL 9 ではデフォルトでサポートされていません。FIPS モードの RHEL 9 レプリカをデプロイメントに追加するには、暗号化ポリシーを FIPS:AD-SUPPORT
に設定して、RHEL 9 システムでこれらの暗号化キーを有効にする必要があります。
暗号化ポリシーを FIPS:AD-SUPPORT
に設定すると、次の暗号化タイプのサポートが追加されます。
-
aes256-cts:normal
-
aes256-cts:special
-
aes128-cts:normal
-
aes128-cts:special
前提条件
- RHEL 9 システムで FIPS モードを有効にしました。
- FIPS モードで RHEL 8 IdM 環境の IdM レプリカとして RHEL 9 システムを設定したいと考えています。
IdM マスターキーの暗号化タイプが
aes256-cts-hmac-sha384-192
ではありません。詳細については、IdM マスターキーの暗号化タイプを参照 してください。注記Microsoft の Active Directory 実装は、SHA-2 HMAC を使用する RFC8009 Kerberos 暗号化タイプをまだサポートしていません。したがって、IdM-AD 信頼が設定されている場合、IdM マスターキーの暗号化タイプが
aes256-cts-hmac-sha384-192
であっても、FIPS:AD-SUPPORT 暗号サブポリシーの使用が必要になります。
手順
RHEL 9 システムで、
AES HMAC-SHA1
暗号化タイプの使用を有効にします。# update-crypto-policies --set FIPS:AD-SUPPORT