1.3.4. FIPS 合规性

您可以在启用了联邦信息处理标准(FIPS)模式的系统上安装新的 IdM 服务器或副本。唯一的例外是启用了 FIPS:OSPP 加密子策略的系统。

要使用 FIPS 安装 IdM，首先在主机上启用 FIPS 模式，然后安装 IdM。IdM 安装脚本会检测是否 FIPS 已启用，并配置 IdM ，以只使用与 FIPS 140-3 兼容的加密类型：

要使 IdM 环境符合 FIPS，所有 IdM 副本都必须启用 FIPS 模式。

红帽建议您在 IdM 客户端中也启用 FIPS，特别是您可以将这些客户端提升到 IdM 副本。最终，由管理员来决定它们如何满足 FIPS 要求；红帽不强制执行 FIPS 标准。

迁移到符合 FIPS 的 IdM

您无法将现有 IdM 安装从非 FIPS 环境迁移到符合 FIPS 的安装。这不是技术问题，而是法律和监管限制。

要操作符合 FIPS 的系统，必须在 FIPS 模式下创建所有加密密钥资料。另外，加密密钥材料不得离开 FIPS 环境，除非它被安全包装，且永远不会在非 FIPS 环境中解封。

如果您的场景需要将非 FIPS IdM 领域迁移到符合 FIPS 的领域，您必须：

迁移过滤器必须阻止：

实际上，新的 FIPS 安装是一种不同的安装。即使具有严格的过滤，此类迁移可能无法通过 FIPS 140 认证。您的 FIPS 审核员可能会标记这个迁移。

支持启用了 FIPS 模式的跨林信任

要在启用了 FIPS 模式的情况下与活动目录(AD)建立跨林信任，您必须使用 AD 管理帐户进行身份验证。在启用 FIPS 模式时，您无法使用共享 secret 建立信任。

重要

RADIUS 身份验证不兼容 FIPS。如果您需要 RADIUS 身份验证，不要在启用了 FIPS 模式的服务器中安装 IdM。

其它资源