第 51 章 认证和互操作性


如果 IdM master 在 RHEL 6 上运行,在 RHEL 7.6 上安装 IdM 副本会失败

随着 pki-core 软件包的最新更新,在 Identity Management (IdM)证书颁发机构(CA)中不再启用某些密码。因此,将 RHEL 7.6 上集成 CA 的 IdM 服务器设置为在 RHEL 6 上运行的 master 的副本会失败,并显示 CRITICAL Failed 来配置 CA 实例 错误。要临时解决这个问题,请在 /etc/httpd/conf.d/nss.conf 文件中的 NSSCipherSuite 参数的末尾附加以下条目:
+ecdhe_rsa_aes_128_sha,+ecdhe_rsa_aes_256_sha
因此,RHEL 7.6 上的 IdM 安装不再会失败。请注意,在 RHEL 7.6 上安装无 CA 的 IdM 副本可以正常工作,即使没有这个临时解决方案。(BZ#1667434)

RADIUS 代理功能现在在以 FIPS 模式运行的 IdM 中提供

在 FIPS 模式中,OpenSSL 默认禁用 MD5 摘要算法的使用。因此,因为 RADIUS 协议需要 MD5 来加密 RADIUS 客户端和 RADIUS 服务器的 secret,所以 FIPS 模式中的 MD5 不可用会导致 RHEL Identity Management (IdM) RADIUS 代理服务器失败。
如果 RADIUS 服务器与 IdM master 在相同的主机上运行,您可以临时解决这个问题,并在安全响应器中启用 MD5。
要做到这一点,请使用以下内容创建一个文件 /etc/systemd/system/radiusd.service.d/ipa-otp.conf :
# /etc/systemd/system/radiusd.service.d/ipa-otp.conf
[Service]
Environment=OPENSSL_FIPS_NON_APPROVED_MD5_ALLOW=1
要应用更改,请重新载入 systemd 配置:
# systemctl daemon-reload
并启动 radiusd 服务:
# systemctl start radiusd
RADIUS 代理的配置需要在客户端和服务器之间使用通用 secret 来嵌套凭证。使用命令行界面(CLI)或 Web UI 在 RHEL IdM 中的 RADIUS 代理配置中指定此 secret。在 CLI 中执行此操作:
# ipa radiusproxy-add name_of_your_proxy_server --secret your_secret
(BZ#1571754)

将对 ldap_id_use_start_tls 选项使用默认值时潜在的风险

当不使用 TLS 进行身份查找的情况下使用 ldap:// 时,可能会对攻击向量构成风险。特别是中间人(MITM)攻击,例如,攻击者可以通过更改 LDAP 搜索中返回的对象的 UID 或 GID 来冒充用户。
目前,用于强制执行 TLS 的 SSSD 配置选项 ldap_id_use_start_tls,默认为 false。确定您的设置在可信环境中运行,并决定是否安全地为 id_provider = ldap 使用未加密的通信。请注意 id_provider = adid_provider = ipa 不受影响,因为它们使用 SASL 和 GSSAPI 保护的加密连接。
如果使用未加密的通信不安全,请在 /etc/sssd/sssd.conf 文件中将 ldap_id_use_start_tls 选项设置为 true 来强制使用 TLS。计划在以后的 RHEL 版本中更改的默认行为。
(JIRA:RHELPLAN-155168)
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.