16.4. 查看 IdM 主密钥的加密类型
作为身份管理(IdM)管理员,您可以查看 IdM 主密钥的加密类型,这是 IdM Kerberos 分发中心(KDC)用来存储所有其他主体的密钥。了解加密类型可帮助您确定部署与 FIPS 标准的兼容性。
从 RHEL 8.7 开始,加密类型是 aes256-cts-hmac-sha384-192
。这个加密类型与旨在遵守 FIPS 140-3 的默认 RHEL 9 FIPS 加密策略兼容。
之前 RHEL 版本上使用的加密类型与遵循 FIPS 140-3 标准的 RHEL 9 系统不兼容。要使 FIPS 模式下的 RHEL 9 系统与 RHEL 8 FIPS 140-2 部署兼容,请在 RHEL 9 系统上启用 FIPS:AD-SUPPORT
加密策略。
Microsoft 的 Active Directory 实现尚不支持任何使用 SHA-2 HMAC 的 RFC8009 Kerberos 加密类型。如果您配置了 IdM-AD 信任,因此即使 IdM 主密钥的加密类型是 aes256-cts-hmac-sha384-192
,也需要使用 FIPS:AD-SUPPORT 加密子策略。
先决条件
-
您有访问 IdM 部署中任何 RHEL 8 副本的
root
权限。
流程
在副本上,查看命令行界面中的加密类型:
# kadmin.local getprinc K/M | grep -E '^Key:' Key: vno 1, aes256-cts-hmac-sha1-96
输出中的
aes256-cts-hmac-sha1-96
密钥表示 IdM 部署已安装在运行 RHEL 8.6 或更早版本的服务器上。输出中存在一个aes256-cts-hmac-sha384-192
密钥,表示 IdM 部署已安装在运行 RHEL 8.7 或更高版本的服务器上。