2.5. 支持启用了 FIPS 模式的跨林信任
要在启用了 FIPS 模式的同时建立与 Active Directory(AD)域的跨林信任,您必须满足以下要求:
- IdM 服务器位于 RHEL 8.4.0 或更高版本中。
- 在设置信任时,您必须使用 AD 管理帐户验证。在启用 FIPS 模式时,您无法使用共享 secret 建立信任。
重要
RADIUS 身份验证不符合 FIPS ,因为 RADIUS 协议使用 MD5 哈希函数来在客户端和服务器之间加密密码,在 FIPS 模式下,OpenSSL 禁用 MD5 摘要算法的使用。但是,如果 RADIUS 服务器与 IdM 服务器运行在同一台主机上,您可以临时解决这个问题,并通过执行 如何在 FIPS 模式中配置 FreeRADIUS 身份验证 中描述的步骤来启用 MD5 。
其它资源
- 有关在 RHEL 操作系统中 FIPS 模式的更多信息,请参阅 安全强化 文档中的 在 FIPS 模式下安装系统。
- 有关 FIPS 140-2 标准的详情,请查看国家标准与技术研究院(NIST)网站上的 加密模块的安全要求 。