14.8. 从非 fips 环境迁移
如果您之前在非 fips 环境中使用了 Keycloak 的红帽构建,则可以将其迁移到 FIPS 环境,包括其数据。但是,如上一节所述,存在限制和注意事项,即:
- 确保所有红帽构建的 Keycloak 功能依赖于密钥存储s 仅使用受支持的密钥存储类型。这根据是否使用严格的或非限制模式而有所不同。
-
Kerberos 身份验证可能无法正常工作。如果您的身份验证流使用
Kerberos身份验证器,则此验证器将在迁移到 FIPS 环境时自动切换到DISABLED。建议您从您的域中删除任何Kerberos用户存储供应商,并在切换到 FIPS 环境前在 LDAP 供应商中禁用Kerberos相关功能。
除了前面的要求外,请务必在切换到 FIPS 严格模式前再次检查它:
- 确保所有红帽构建的 Keycloak 功能都依赖于密钥(如域或客户端密钥)至少使用 2048 位的 RSA 密钥
-
确保依赖
Signed JWT 带有客户端 Secret的客户端至少使用 14 个字符长 secret (最好生成的 secret) -
如前文所述,密码长度限制。如果您的用户有较短的密码,请务必像前面所述,将 max padding length 设置为 14 个 PBKDF2 供应商时启动服务器。如果您希望避免这个选项,您可以要求所有用户在新环境中第一次身份验证期间重置其密码(
例如,禁止密码链接)。
