4.11. Kerberos

在红帽企业版 Linux 6 中，Kerberos 客户端和服务器（包括 KDC）将默认对加密程序 des-cbc-crc、des-cbc-md4、des-cbc-md5、des-cbc-raw、des3-cbc-raw、des-hmac-sha1 和 arcfour-hmac-exp 不使用秘钥。默认客户端将不能通过验证使用这些秘钥类型的服务。

大多数服务可在其密钥标签中添加一组新的密钥（其中包括用来使加密效果更强大的密钥）且不会感到中断。同时可使用 kadmin 的 cpw -keepold 命令将提供服务密钥的 ticket 更新为一组包括用来使加密效果更强大的密钥。

作为临时解决方案，那些需要继续使用较弱加密程序的系统需要在 /etc/krb5.conf 文件的 libdefaults 部分的 allow_weak_crypto 选项。默认将这个变量设定为 false，如不启动此选项验证就会失败：

[libdefaults]
allow_weak_crypto = yes

此外，对 Kerberos IV 的支持，作为应用程序中可用的共享库和受支持的认证机制，已经被移除。新添加的对锁定策略的支持需要更改数据库转储格式。需要转储数据库到旧的 KDC 可用的格式的主 KDC 必须运行 kdb5_util 的 dump 命令和 -r13 选项。