2.4. FIPS 合规性
有了 RHEL 8.3.0 或更高版本,您可以在启用了联邦信息处理标准(FIPS) 140 模式的系统上安装新的 IdM 服务器或副本。
要在 FIPS 模式下安装 IdM,首先在主机上启用 FIPS 模式,然后安装 IdM。IdM 安装脚本会检测是否启用了 FIPS,并将 IdM 配置为只使用符合 FIPS 140 标准的加密类型:
-
aes256-cts:normal
-
aes256-cts:special
-
aes128-cts:normal
-
aes128-cts:special
-
aes128-sha2:normal
-
aes128-sha2:special
-
aes256-sha2:normal
-
aes256-sha2:special
要使 IdM 环境符合 FIPS,所有 IdM 副本都必须启用 FIPS 模式。
红帽建议您在 IdM 客户端中启用 FIPS 模式,特别是如果您可能将这些客户端提升到 IdM 副本。最终,由管理员来决定它们如何满足 FIPS 要求;红帽不强制执行 FIPS 标准。
迁移到符合 FIPS 的 IdM
您无法将现有 IdM 安装从非 FIPS 环境迁移到符合 FIPS 的安装。这不是技术问题,而是法律和监管限制。
要操作符合 FIPS 的系统,必须在 FIPS 模式下创建所有加密密钥资料。另外,加密密钥材料不得离开 FIPS 环境,除非它被安全包装,且永远不会在非 FIPS 环境中解封。
如果您的场景需要将非 FIPS IdM 领域迁移到符合 FIPS 的领域,您必须:
- 在 FIPS 模式下创建一个新 IdM 领域
- 使用阻止所有密钥材料的过滤器,从非 FIPS 领域执行到新 FIPS 模式领域的数据迁移
迁移过滤器必须阻止:
- KDC 主密钥、keytab 以及所有相关 Kerberos 密钥材料
- 用户密码
- 所有证书,包括 CA、服务和用户证书
- OTP 令牌
- SSH 密钥和指纹
- DNSSEC KSK 和 ZSK
- 所有 vault 条目
- 与 AD 信任相关的密钥材料
实际上,新的 FIPS 安装是一种不同的安装。即使具有严格的过滤,此类迁移可能无法通过 FIPS 140 认证。您的 FIPS 审核员可能会标记这个迁移。
其它资源
- 有关 RHEL 操作系统中 FIPS 140 实现的更多信息,请参阅 RHEL 安全强化 文档中的 联邦信息处理标准 140 和 FIPS 模式。