Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

34.4. 确保支持 AD 和 RHEL 中的通用加密类型

默认情况下,身份管理建立一个支持 AES-128 和 AES-256 Kerberos 加密类型的跨域信任。另外,默认情况下,SSSD 和 Samba Winbind 支持 AES-128 和 AES-256 Kerberos 加密类型。

从 RHEL 8.3 和 RHEL 9 开始,RC4 加密被弃用,并默认被禁用,因为它被视为不如较新的 AES-128 和 AES-256 加密类型安全。相反,活动目录(AD)用户凭证和 AD 域之间的信任支持 RC4 加密,它们可能不支持所有 AES 加密类型。

如果没有任何常用的加密类型,RHEL 和 AD 域之间的通信可能无法正常工作,或者可能无法对一些 AD 帐户进行身份验证。要解决这种情况,请执行以下部分中概述的配置之一。

重要

如果 IdM 在 FIPS 模式下,由于 AD 只支持使用 RC4 或 AES HMAC-SHA1 加密,IdM-AD 集成无法工作,而 FIPS 模式下的 RHEL 9 默认只允许 AES HMAC-SHA2。如需更多信息,请参阅 AD 域用户无法登录到符合 FIPS 的环境中 KCS 解决方案。

IdM 不支持更严格的 FIPS:OSPP 加密策略,该策略只用于通用标准评估的系统。

34.4.1. 在 AD 中启用 AES 加密(推荐)
复制链接

要确保 AD 林中活动目录(AD)域之间的信任支持强大的 AES 加密类型,请参阅以下 Microsoft 文章 AD DS: 安全:访问信任域中资源时的 Kerberos "Unsupported etype" 错误

使用组策略对象(GPO)在活动目录(AD)中启用 AES 加密类型。RHEL 上的某些功能(如在 IdM 客户端上运行 Samba 服务器)需要这个加密类型。

请注意,RHEL 不再支持弱 DES 和 RC4 加密类型。

先决条件

  • 以可编辑组策略的用户身份登录到 AD。
  • 组策略管理控制台已安装在计算机上。

流程

  1. 打开组策略管理控制台。
  2. 右键单击Default Domain Policy,然后选择 Edit。此时会打开组策略管理编辑器。
  3. 导航到 计算机配置 策略 Windows 设置 安全设置 本地策略 安全选项
  4. 双击 Network security: Configure encryption types allowed for Kerberos 策略。
  5. 选择AES256_HMAC_SHA1和可选的未来加密类型
  6. 点击 OK
  7. 关闭组策略管理编辑器。
  8. 默认域控制器策略重复上述步骤。

  9. 等待 Windows 域控制器(DC)自动应用组策略。或者,如果要在 DC 上手动应用 GPO,请使用具有管理员权限的帐户输入以下命令: 

    C:\> gpupdate /force /target:computer
    Copy to Clipboard Toggle word wrap

34.4.3. 在 RHEL 中启用 RC4 支持
复制链接

在针对 AD 域控制器进行身份验证的每个 RHEL 主机上,完成以下概述的步骤。

流程

  1. 除了 DEFAULT 加密策略之外,使用 update-crypto-policies 命令来启用 AD-SUPPORT 加密子策略。 

    [root@host ~]# update-crypto-policies --set DEFAULT:AD-SUPPORT
Setting system policy to DEFAULT:AD-SUPPORT
Note: System-wide crypto policies are applied on application start-up.
It is recommended to restart the system for the change of policies
to fully take place.
    Copy to Clipboard Toggle word wrap
  2. 重启主机。
重要

AD-SUPPORT 加密子策略只在 RHEL 8.3 及更新版本中提供。

  • 要在 RHEL 8.2 中启用对 RC4 的支持,请使用 cipher = RC4-128+ 创建并启用自定义加密模块策略。如需了解更多详细信息,请参阅 使用子策略自定义系统范围的加密策略

  • 要在 RHEL 8.0 和 RHEL 8.1 中启用对 RC4 的支持,请将 +rc4 添加到 /etc/crypto-policies/back-ends/krb5.config 文件中的 permitted_enctypes 选项中: 

    [libdefaults]
permitted_enctypes = aes256-cts-hmac-sha1-96 aes256-cts-hmac-sha384-192 camellia256-cts-cmac aes128-cts-hmac-sha1-96 aes128-cts-hmac-sha256-128 camellia128-cts-cmac +rc4
    Copy to Clipboard Toggle word wrap
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat