1.3. Garantia de suporte para tipos comuns de criptografia em AD e RHEL
Por padrão, o SSSD suporta os tipos de criptografia RC4, AES-128, e AES-256 Kerberos.
A criptografia RC4 foi depreciada e desativada por padrão no RHEL 8, pois é considerada menos segura que os novos tipos de criptografia AES-128 e AES-256. Em contraste, as credenciais de usuário do Active Directory (AD) e os trusts entre domínios AD suportam a criptografia RC4 e podem não suportar os tipos de criptografia AES.
Sem nenhum tipo de criptografia comum, a comunicação entre hosts RHEL e domínios AD pode não funcionar, ou algumas contas AD podem não ser capazes de autenticar. Para remediar esta situação, modifique uma das seguintes configurações:
- Enable AES encryption support in Active Directory (recommended option): Para garantir a confiança entre os domínios AD em uma floresta AD suporta fortes tipos de criptografia AES, veja o seguinte artigo da Microsoft: AD DS: Segurança: Kerberos Erro de tipo "Unsupported etype" ao acessar um recurso em um domínio confiável
Enable RC4 support in RHEL: Em cada host RHEL onde ocorre a autenticação contra os Controladores de Domínios AD:
Use o comando
update-crypto-policies
para ativar a subpolítica criptográficaAD-SUPPORT
, além da política criptográficaDEFAULT
.[root@host ~]# update-crypto-policies --set DEFAULT:AD-SUPPORT Setting system policy to DEFAULT:AD-SUPPORT Note: System-wide crypto policies are applied on application start-up. It is recommended to restart the system for the change of policies to fully take place.
- Reinicie o anfitrião.
A sub-política criptográfica AD-SUPPORT
só está disponível no RHEL 8.3 e mais recente.
-
Para permitir o suporte ao RC4 no RHEL 8.2, crie e habilite uma política de módulos criptográficos personalizados com
cipher = RC4-128
. Para obter mais detalhes, consulte Personalização de políticas criptográficas em todo o sistema com modificadores de políticas. Para permitir o suporte ao RC4 no RHEL 8.0 e RHEL 8.1, adicione
rc4
à opçãopermitted_enctypes
no arquivo/etc/crypto-policies/back-ends/krb5.config
:[libdefaults] permitted_enctypes = aes256-cts-hmac-sha1-96 aes256-cts-hmac-sha384-192 camellia256-cts-cmac aes128-cts-hmac-sha1-96 aes128-cts-hmac-sha256-128 camellia128-cts-cmac +rc4
Recursos adicionais
- Para mais informações sobre como trabalhar com políticas criptográficas RHEL, consulte Utilizando políticas criptográficas de todo o sistema no guia Security Hardening.