4.8. Kerberos

No Red Hat Enterprise Linux 6, os clientes Kerberos e servidores (incluindo KDCs) serão padrões para não usar chaves para as codificações des-cbc-crc, des-cbc-md4, des-cbc-md5, des-cbc-raw, des3-cbc-raw, des-hmac-sha1, e arcfour-hmac-exp. Por padrão, os clientes não serão capazes de autenticar em serviços que possuem chaves destes tipos.

A maioria dos serviços podem ter um novo conjunto de chaves (incluindo chaves para o uso com codificações mais fortes) adicionadas aos seus keytabs e não passar por períodos de inatividade, e o ticket que concede chaves de serviços podem da mesma maneira serem atualizados a um conjunto que inclui chaves para uso com codificações mais fortes, usando o comando kadmin cpw-keepol.

Como uma solução temporária, sistemas que precisam continuar a usar codificações mais fracas requerem a opção allow_weak_crypto na seção libdefaults do arquivo /etc/krb5.conf. Esta variável é definida para false por padrão, e a autenticação falhará sem ter esta opção ativada:

[libdefaults]
allow_weak_crypto = yes

Adicionalmente, o suporte para Kerberos IV, tanto como uma biblioteca compartilhada disponível como um mecânismo de autenticação suportado em aplicações, foi removido. Suporte recém adicionados para políticas de bloqueio requerem uma mudança ao formato de dump do banco de dados. KDCs masters que precisam fazer um dump de banco de dados em um formato que antigos KDCs podem consumir devem executar o comando kdb5_util's dump com a opção -r13.