搜索

19.3. 确保加入 RHEL 8 IdM 环境的 RHEL 9 副本符合 FIPS

download PDF

如果 RHEL 身份管理(IdM)最初安装在 RHEL 8.6 或更早版本的系统上,则其使用的 AES HMAC-SHA1 加密类型默认在 FIPS 模式下不被 RHEL 9 支持。要将 FIPS 模式下的 RHEL 9 副本添加到部署,您必须通过将加密策略设为 FIPS:AD-SUPPORT,来在 RHEL 9 系统上启用这些加密密钥。

通过将加密策略设为 FIPS:AD-SUPPORT,您可以添加对以下加密类型的支持:

  • aes256-cts:normal
  • aes256-cts:special
  • aes128-cts:normal
  • aes128-cts:special

先决条件

  • 您已在 RHEL 9 系统上启用了 FIPS 模式。
  • 您希望载 FIPS 模式下将 RHEL 9 系统配置为 RHEL 8 IdM 环境的 IdM 副本。
  • IdM 主密钥的加密类型不是 aes256-cts-hmac-sha384-192。如需更多信息,请参阅 查看 IdM 主密钥的加密类型

    注意

    Microsoft 的活动目录实现尚不支持任何使用 SHA-2 HMAC 的 RFC8009 Kerberos 加密类型。如果您配置了 IdM-AD 信任,则因此需要使用 FIPS:AD-SUPPORT 加密子策略,即使 IdM 主密钥的加密类型是 aes256-cts-hmac-sha384-192

步骤

  • 在 RHEL 9 系统上,启用 AES HMAC-SHA1 加密类型的使用:

    # update-crypto-policies --set FIPS:AD-SUPPORT
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.