SuporteConsoleDesenvolvedoresComeçar um testeContato

6.4.8. Gestão da Identidade

oopenssh-ldap foi depreciado

O subpacote openssh-ldap foi depreciado no Red Hat Enterprise Linux 8 e será removido no RHEL 9. Como o subpacote openssh-ldap não é mantido a montante, a Red Hat recomenda o uso do SSSD e do helper sss_ssh_authorizedkeys, que se integram melhor com outras soluções IdM e são mais seguros.

Por padrão, os provedores SSSD ldap e ipa lêem o atributo sshPublicKey LDAP do objeto do usuário, se disponível. Note que você não pode usar a configuração padrão do SSSD para o provedor de anúncios ou domínios confiáveis do IdM para recuperar chaves públicas SSH do Active Directory (AD), uma vez que o AD não tem um atributo LDAP padrão para armazenar uma chave pública.

Para permitir que o ajudante de chaves autorizadas sss_ssh_authorizedkeys obtenha a chave do SSSD, habilite o ajudante ssh adicionando ssh à opção de serviços no arquivo sssd.conf. Veja a página de manual sssd.conf(5) para detalhes.

Para permitir que o sshd utilize sss_ssh_authorizedkeys, adicione o arquivo /usr/bin/ssh_authorizedkeys e AuthorizedKeysCommandUser nobody options ao arquivo /etc/ssh/sshd_config como descrito pela página de manual sss_ssh_authorizedkeys(1).

(BZ#1871025)

Os tipos de criptografia DES e 3DES foram removidos

Devido a razões de segurança, o algoritmo Data Encryption Standard (DES) foi depreciado e desativado por padrão desde o RHEL 7. Com o recente rebase dos pacotes Kerberos, os tipos de criptografia de um-DES (DES) e de três-DES (3DES) foram removidos do RHEL 8.

Se você tiver configurado serviços ou usuários para usar somente a criptografia DES ou 3DES, você poderá sofrer interrupções de serviço como, por exemplo:

  • Erros de autenticação Kerberos
  • erros de criptografiade tipo enctype desconhecidos
  • Os Centros de Distribuição Kerberos (KDCs) com chaves mestras criptografadas em DES(K/M) não conseguem iniciar

Realizar as seguintes ações para se preparar para a atualização:

  1. Verifique se seu KDC usa criptografia DES ou 3DES com os scripts Python de código aberto krb5check. Veja krb5check no GitHub.
  2. Se você estiver usando a criptografia DES ou 3DES com quaisquer diretores Kerberos, digite-os novamente com um tipo de criptografia suportada, como a AES (Advanced Encryption Standard). Para instruções de re-keying, veja Retirada de DES da Documentação do MIT Kerberos.

  3. Teste a independência do DES e 3DES definindo temporariamente as seguintes opções Kerberos antes da atualização:

    1. In /var/kerberos/krb5kdc/kdc.conf sobre o KDC, definir os tipos_apoiados e não incluir des ou des3.
    2. Para cada host, em /etc/krb5.conf e quaisquer arquivos em /etc/krb5.conf.d, defina allow_weak_crypto para falso. É falso por padrão.
    3. Para cada host, em /etc/krb5.conf e quaisquer arquivos em /etc/krb5.conf.d, defina os tipos_permitidos, os tipos_tgs_padrão, e os tipos_tkt_padrão e não inclua des ou des3.
  4. Se você não experimentar nenhuma interrupção de serviço com as configurações de teste Kerberos da etapa anterior, remova-as e atualize. Você não precisa dessas configurações após atualizar para os pacotes mais recentes do Kerberos.

(BZ#1877991)

Red Hat logoGithubRedditYoutubeTwitter

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Ajudamos os usuários da Red Hat a inovar e atingir seus objetivos com nossos produtos e serviços com conteúdo em que podem confiar.

Tornando o open source mais inclusivo

A Red Hat está comprometida em substituir a linguagem problemática em nosso código, documentação e propriedades da web. Para mais detalhes veja oBlog da Red Hat.

Sobre a Red Hat

Fornecemos soluções robustas que facilitam o trabalho das empresas em plataformas e ambientes, desde o data center principal até a borda da rede.

© 2024 Red Hat, Inc.