红帽全球峰会第 5 章 确保支持 AD 和 RHEL 中的通用加密类型
默认情况下,身份管理建立一个跨域信任,支持 AES-128 和 AES-256 Kerberos 加密类型。另外,默认情况下,SSSD 和 Samba Winbind 支持 AES-128 和 AES-256 Kerberos 加密类型。
从 RHEL 8.3 和 RHEL 9 开始,RC4 加密已弃用并禁用,因为它被视为不如较新的 AES-128 和 AES-256 加密类型安全。相反,活动目录(AD)用户凭证和 AD 域之间的信任支持 RC4 加密,它们可能不支持所有 AES 加密类型。
如果没有任何常用的加密类型,RHEL 和 AD 域之间的通信可能无法正常工作,或者可能无法对一些 AD 帐户进行身份验证。要解决这种情况,请执行以下部分中概述的配置之一。
如果 IdM 在 FIPS 模式下,IdM-AD 集成因为 AD 只支持使用 RC4 或 AES HMAC-SHA1 加密而无法工作,而 RHEL 9 在 FIPS 模式下默认只允许 AES HMAC-SHA2。如需更多信息,请参阅 AD 域用户无法登录到与 FIPS 兼容的环境 KCS 解决方案。
IdM 不支持更严格的 FIPS:OSPP 加密策略,该策略只应用于通用标准评估的系统。
在 AD 和启用了 FIPS 模式的身份管理 IdM 之间建立双向跨林信任会失败,因为 New Technology LAN Manager Security Support Provider (NTLMSSP)身份验证不符合 FIPS。FIPS 模式下的 IdM 不接受在尝试验证时 AD 域控制器所使用的 RC4 NTLM 哈希。
5.1. 在 AD 中启用 AES 加密(推荐)
要确保 AD 林中的活动目录(AD)域间的信任支持强 AES 加密类型,请参阅以下 Microsoft 文章:AD DS:安全:在访问可信域中的资源时,Kerberos "Unsupported etype" 错误
