7.4. AD および RHEL で一般的な暗号化タイプに対応
デフォルトでは、Identity Management は RC4、AES-128、および AES-256 の Kerberos 暗号化タイプに対応するレルム間の信頼を確立します。さらに、デフォルトでは、SSSD と Samba Winbind は RC4、AES-128、および AES-256 の Kerberos 暗号化タイプに対応します。
RC4 暗号化は、新しい暗号化タイプ AES-128 および AES-256 よりも安全ではないと見なされるため、デフォルトで非推奨となり、無効にされています。一方、Active Directory (AD) ユーザーの認証情報と AD ドメイン間の信頼は RC4 暗号化をサポートしており、すべての AES 暗号化タイプには対応していない可能性があります。
一般的な暗号化タイプがないと、RHEL ホストと AD ドメイン間の通信が機能しないか、一部の AD アカウントが認証できない可能性があります。この状況に対処するには、次のセクションで説明する設定のいずれかを実行します。
IdM が FIPS モードの場合、IdM-AD 統合は機能しません。これは、AD は RC4 または AES HMAC-SHA1 暗号化の使用しかサポートしない一方で、FIPS モードの RHEL 9 は、デフォルトでは AES HMAC-SHA2 しか許可しないためです。RHEL 9 で AES HMAC-SHA1 の使用を有効にするには、# update-crypto-policies --set FIPS:AD-SUPPORT
と入力してください。
IdM は、より制限の厳しい FIPS:OSPP
暗号化ポリシーはサポートしていません。このポリシーは、Common Criteria で評価されたシステムでしか使用できません。
7.4.1. AD での AES 暗号化の有効化 (推奨)
AD フォレストの Active Directory (AD) ドメイン間の信頼を確保して、強力な AES 暗号化の種類に対応するには、Microsoft の記事 AD DS: Security: Kerberos "Unsupported etype" error when accessing a resource in a trusted domain を参照してください。
7.4.2. GPO を使用した Active Directory で AES 暗号化タイプの有効化
本セクションでは、グループポリシーオブジェクト (GPO) を使用して、Active Directory (AD) で AES 暗号化タイプを有効にする方法を説明します。IdM クライアントで Samba サーバーを実行するなど、RHEL の特定の機能には、この暗号化タイプが必要です。
RHEL は、弱い DES および RC4 の暗号化タイプをサポートしなくなった点に注意してください。
前提条件
- グループポリシーを編集できるユーザーとして AD にログインしている。
-
Group Policy Management Console
がコンピューターにインストールされている。
手順
-
Group Policy Management Console
を開きます。 -
デフォルトドメインポリシー
を右クリックして、編集
を選択します。Group Policy Management Editor
を閉じます。 -
コンピューターの設定
ポリシー
Windows の設定
セキュリティーの設定
ローカルポリシー
セキュリティーオプション
に移動します。 -
ネットワーク セキュリティー: Kerberos で許可する暗号化の種類を設定する
をダブルクリックします。 -
AES256_HMAC_SHA1
を選択し、必要に応じて、将来の暗号化タイプ
を選択します。 - をクリックします。
-
Group Policy Management Editor
を閉じます。 -
デフォルトのドメインコントローラーポリシー
に対して手順を繰り返します。 Windows ドメインコントローラー (DC) がグループポリシーを自動的に適用するまで待ちます。または、GPO を DC に手動で適用するには、管理者権限を持つアカウントを使用して次のコマンドを入力します。
C:\> gpupdate /force /target:computer
7.4.3. RHEL での RC4 サポートの有効化
AD ドメインコントローラーに対する認証が行われるすべての RHEL ホストで、以下に概説する手順を実行します。
手順
update-crypto-policies
コマンドを使用して、DEFAULT
暗号化ポリシーに加えAD-SUPPORT-LEGACY
暗号化サブポリシーを有効にします。[root@host ~]# update-crypto-policies --set DEFAULT:AD-SUPPORT-LEGACY Setting system policy to DEFAULT:AD-SUPPORT-LEGACY Note: System-wide crypto policies are applied on application start-up. It is recommended to restart the system for the change of policies to fully take place.
- ホストを再起動します。
7.4.4. 関連情報
- Using system-wide cryptographic policies を参照してください。
- 信頼コントローラーおよび信頼エージェント を参照してください。