2.3. IdM 的自定义配置要求
在干净的系统上安装身份管理(IdM)服务器,无需为 DNS、Kerberos、Apache 或 Directory Server 等服务进行任何自定义配置。
IdM 服务器安装覆盖了系统文件来设置 IdM 域。IdM 将原始系统文件备份到 /var/lib/ipa/sysrestore/
。当在生命周期结束时卸载 IdM 服务器时,会恢复这些文件。
IdM 中的 IPv6 要求
IdM 系统必须在内核中启用 IPv6 协议,并且 localhost (::1)能够使用它。如果禁用 IPv6,IdM 服务使用的 CLDAP 插件将无法初始化。
不必在网络中启用 IPv6。如果需要,可以启用 IPv6 堆栈而不启用 IPv6 地址。
支持 IdM 中的加密类型
Red Hat Enterprise Linux (RHEL)使用 Kerberos 协议版本 5,它支持加密类型,如高级加密标准(AES)、Camellia 和数据加密标准(DES)。
支持的加密类型列表
虽然 IdM 服务器和客户端上的 Kerberos 库可能会支持更多的加密类型,但 IdM Kerberos 分发中心(KDC)只支持以下加密类型:
-
aes256-cts:normal
-
aes256-cts:special
(默认) -
aes128-cts:normal
-
aes128-cts:special
(默认) -
aes128-sha2:normal
-
aes128-sha2:special
-
aes256-sha2:normal
-
aes256-sha2:special
-
camellia128-cts-cmac:normal
-
camellia128-cts-cmac:special
-
camellia256-cts-cmac:normal
-
camellia256-cts-cmac:special
默认禁用 RC4 加密类型
RHEL 8 中已弃用并默认禁用以下 RC4 加密类型,因为它们被视为不如较新的 AES-128 和 AES-256 加密类型安全:
-
arcfour-hmac:normal
-
arcfour-hmac:special
有关手动启用 RC4 支持以与旧活动目录环境兼容的更多信息,请参阅 确保在 AD 和 RHEL 中对通用加密类型的支持。
删除了对 DES 和 3DES 加密的支持
由于安全考虑,在 RHEL 7 中弃用了对 DES 算法的支持。RHEL 8.3.0 中最近重新构建的 Kerberos 软件包从 RHEL 8 中删除了对 single-DES(DES)和 triple-DES(3DES)加密类型的支持。
标准 RHEL 8 IdM 安装默认不使用 DES 或 3DES 加密类型,且不受 Kerberos 升级的影响。
如果您手动配置任何服务或用户只使用DES或 3DES 加密(例如,对于遗留的客户端),您可能会在升级到最新的 Kerberos 软件包后遇到服务中断,例如:
- Kerberos 验证错误
-
unknown enctype
加密错误 -
带有 DES 加密数据库主密钥 (
K/M
) 的 KDC 无法启动
红帽建议不要在您的环境中使用 DES 或者 3DES 加密。
如果您将环境配置成了使用DES和3DES加密类型,则只需要禁用它们。
支持 IdM 中系统范围的加密策略
IdM 使用 DEFAULT
系统范围的加密策略。此政策为当前威胁模型提供安全设置。它允许 TLS 1.2 和 1.3 协议,以及 IKEv2 和 SSH2 协议。如果 RSA 密钥和 Diffie-Hellman 参数至少是 2048 位,则可以接受它们。此策略不允许 DES、3DES、RC4、DSA、TLS v1.0 和其他较弱的算法。
您不能使用 FUTURE
系统范围的加密策略来安装 IdM 服务器。安装 IdM 服务器时,请确保您使用的是 DEFAULT
系统范围的加密策略。
其它资源
- 系统范围的加密策略
- man IPV6(7)