Pesquisar

2.3. Garantia de suporte para tipos comuns de criptografia em AD e RHEL

download PDF

Por padrão, Samba Winbind suporta os tipos de criptografia RC4, AES-128, e AES-256 Kerberos.

A criptografia RC4 foi depreciada e desativada por padrão no RHEL 8, pois é considerada menos segura que os novos tipos de criptografia AES-128 e AES-256. Em contraste, as credenciais de usuário do Active Directory (AD) e os trusts entre domínios AD suportam a criptografia RC4 e podem não suportar os tipos de criptografia AES.

Sem nenhum tipo de criptografia comum, a comunicação entre hosts RHEL e domínios AD pode não funcionar, ou algumas contas AD podem não ser capazes de autenticar. Para remediar esta situação, modifique uma das seguintes configurações:

  • Enable AES encryption support in Active Directory (recommended option): Para garantir a confiança entre os domínios AD em uma floresta AD suporta fortes tipos de criptografia AES, veja o seguinte artigo da Microsoft: AD DS: Segurança: Kerberos Erro de tipo "Unsupported etype" ao acessar um recurso em um domínio confiável
  • Enable RC4 support in RHEL: Em cada host RHEL onde ocorre a autenticação contra os Controladores de Domínios AD:

    1. Use o comando update-crypto-policies para ativar a subpolítica criptográfica AD-SUPPORT, além da política criptográfica DEFAULT.

      [root@host ~]# update-crypto-policies --set DEFAULT:AD-SUPPORT
      Setting system policy to DEFAULT:AD-SUPPORT
      Note: System-wide crypto policies are applied on application start-up.
      It is recommended to restart the system for the change of policies
      to fully take place.
    2. Reinicie o anfitrião.
Importante

A sub-política criptográfica AD-SUPPORT só está disponível no RHEL 8.3 e mais recente.

  • Para permitir o suporte ao RC4 no RHEL 8.2, crie e habilite uma política de módulos criptográficos personalizados com cipher = RC4-128 . Para obter mais detalhes, consulte Personalização de políticas criptográficas em todo o sistema com modificadores de políticas.
  • Para permitir o suporte ao RC4 no RHEL 8.0 e RHEL 8.1, adicione rc4 à opção permitted_enctypes no arquivo /etc/crypto-policies/back-ends/krb5.config:

    [libdefaults]
    permitted_enctypes = aes256-cts-hmac-sha1-96 aes256-cts-hmac-sha384-192 camellia256-cts-cmac aes128-cts-hmac-sha1-96 aes128-cts-hmac-sha256-128 camellia128-cts-cmac +rc4

Recursos adicionais

Red Hat logoGithubRedditYoutubeTwitter

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Ajudamos os usuários da Red Hat a inovar e atingir seus objetivos com nossos produtos e serviços com conteúdo em que podem confiar.

Tornando o open source mais inclusivo

A Red Hat está comprometida em substituir a linguagem problemática em nosso código, documentação e propriedades da web. Para mais detalhes veja oBlog da Red Hat.

Sobre a Red Hat

Fornecemos soluções robustas que facilitam o trabalho das empresas em plataformas e ambientes, desde o data center principal até a borda da rede.

© 2024 Red Hat, Inc.