17.2. RHEL 8.6 또는 이전 버전으로 초기화된 FIPS 모드의 IdM 배포에 FIPS 모드에서 RHEL 9 복제본을 추가하는 데 실패합니다.
FIPS 140-3을 준수하기 위한 기본 RHEL 9 FIPS 암호화 정책은 AES HMAC-SHA1 암호화 유형의 키 파생 기능을 RFC3961, 섹션 5.1에 정의된 대로 사용할 수 없습니다.
이 제약 조건으로 인해 첫 번째 서버가 RHEL 8.6 또는 이전 시스템에 설치된 FIPS 모드의 RHEL 8 IdM 환경에 FIPS 모드에서 RHEL 9 IdM 복제본을 추가할 수 없습니다. 이는 RHEL 9과 이전 RHEL 버전 간에 일반적인 암호화 유형이 없으며 일반적으로 AES HMAC-SHA1 암호화 유형을 사용하지만 AES HMAC-SHA2 암호화 유형을 사용하지 않기 때문입니다.
RHEL 8 배포의 첫 번째 IdM 서버에 다음 명령을 입력하여 IdM 마스터 키의 암호화 유형을 볼 수 있습니다.
# kadmin.local getprinc K/M | grep -E '^Key:'
출력의 문자열에 sha1
용어가 포함된 경우 RHEL 9 복제본에서 AES HMAC-SHA1 사용을 활성화해야 합니다.
RHEL 7 및 RHEL 8 서버에서 누락된 AES HMAC-SHA2-encrypted Kerberos 키를 생성하기 위한 솔루션을 개발하고 있습니다. 이렇게 하면 RHEL 9 복제본에서 FIPS 140-3 준수가 수행됩니다. 그러나 Kerberos 키 암호화의 설계로 기존 키를 다른 암호화 유형으로 변환할 수 없기 때문에 이 프로세스를 완전히 자동화할 수 없습니다. 유일한 방법은 사용자에게 암호를 업데이트하도록 요청하는 것입니다.