3.17. 在启用了 FIPS 模式的服务器上运行 Samba
本节概述了在启用了 FIPS 模式的情况下运行 Samba 的限制。还提供了在运行 Samba 的 Red Hat Enterprise Linux 主机上启用 FIPS 模式的流程。
3.17.1. 在 FIPS 模式中使用 Samba 的限制
在指定条件下,以下 Samba 模式和功能在 FIPS 模式下工作:
- Samba 仅在 Active Directory(AD)或使用AES密码进行Kerberos身份验证的红帽身份管理(IdM)环境中作为域成员。
- Samba 作为 Active Directory 域成员上的文件服务器。但是,这需要客户端使用 Kerberos 向服务器进行身份验证。
由于 FIPS 的安全性增强,如果启用了 FIPS 模式,以下 Samba 特性和模式将无法正常工作:
- NT LAN Manager(NTLM)验证,因为 RC4 密码已被阻止
- 服务器消息块版本 1(SMB1)协议
- 独立文件服务器模式,因为它使用了 NTLM 身份验证
- NT4 风格的域控制器
- NT4 风格的域成员.请注意,红帽继续支持后台使用的主域控制器(PDC)功能 IdM。
- 针对Samba 服务器的密码修改.您只能对 Active Directory 域控制器使用 Kerberos 进行密码修改。
以下特性没有在 FIPS 模式下测试,因此红帽不支持:
- 将 Samba 作为打印服务器来运行
3.17.2. 在 FIPS 模式下使用 Samba
您可以在运行 Samba 的 RHEL 主机上启用 FIPS 模式。
先决条件
- 在 Red Hat Enterprise Linux 主机上配置了Samba 。
- Samba 以 FIPS 模式支持的模式运行。
流程
在 RHEL 中启用 FIPS 模式:
# fips-mode-setup --enable
重启服务器:
# reboot
使用
testparm
工具来验证配置:# testparm -s
如果命令显示任何错误或不兼容,请修复它们以确保 Samba 正常工作。