7.4. 确保支持 AD 和 RHEL 中的通用加密类型
默认情况下,身份管理建立跨领域信任关系,支持 RC4、AES-128 和 AES-256 Kerberos 加密类型。另外,默认情况下,SSSD 和 Samba Winbind 支持 RC4、AES-128 和 AES-256 Kerberos 加密类型。
RC4 加密已被弃用并默认禁用,因为它被视为不如较新的 AES-128 和 AES-256 加密类型安全。相反,活动目录(AD)用户凭证和 AD 域之间的信任支持 RC4 加密,但它们可能不支持所有 AES 加密类型。
如果没有任何常用的加密类型,RHEL 和 AD 域之间的通信可能无法正常工作,或者可能无法对一些 AD 帐户进行身份验证。要解决这种情况,请执行以下部分中概述的配置之一。
如果 IdM 在 FIPS 模式下,IdM-AD 集成会因为 AD 只支持使用 RC4 或 AES HMAC-SHA1 加密而无法工作,而 FIPS 模式下的 RHEL 9 默认只允许 AES HMAC-SHA2。要在 RHEL 9 中启用 AES HMAC-SHA1,请输入 # update-crypto-policies --set FIPS:AD-SUPPORT
。
IdM 不支持更严格的 FIPS:OSPP
加密策略,该策略只能用在通用标准评估的系统上。
在 AD 和启用了 FIPS 模式的身份管理 IdM 之间建立双向跨林信任失败,因为 New Technology LAN Manager Security Support Provider (NTLMSSP)身份验证不符合 FIPS。FIPS 模式下的 IdM 不接受 AD 域控制器在尝试验证时使用的 RC4 NTLM 哈希。
7.4.1. 在 AD 中启用 AES 加密(推荐)
要确保 AD 林中活动目录(AD)域之间的信任支持强大的 AES 加密类型,请参阅以下 Microsoft 文章 AD DS: 安全:访问信任域中资源时的 Kerberos "Unsupported etype" 错误
7.4.2. 使用 GPO 在 Active Directory 中启用 AES 加密类型
这部分描述了如何使用组策略对象(GPO)在 Active Directory(AD)中启用 AES 加密类型。RHEL 上的某些功能(如在 IdM 客户端上运行 Samba 服务器)需要这个加密类型。
请注意,RHEL 不再支持弱 DES 和 RC4 加密类型。
先决条件
- 以可编辑组策略的用户身份登录到 AD。
-
计算机上安装了
组策略管理控制台
。
流程
-
打开
组策略管理控制台
。 -
右键单击
默认域策略
,然后选择编辑
。打开组策略管理编辑器
。 -
导航到
计算机配置
策略
Windows 设置
安全设置
本地策略
安全选项
。 -
双击
网络安全:配置 Kerberos 策略允许的加密类型
。 -
选择
AES256_HMAC_SHA1
和可选的未来加密类型
。 - 点 。
-
关闭
组策略管理编辑器
。 -
对
默认域控制器策略
重复上述步骤。 等待 Windows 域控制器(DC)自动应用组策略。或者,如果要在 DC 上手动应用 GPO,请使用具有管理员权限的帐户输入以下命令:
C:\> gpupdate /force /target:computer
7.4.3. 在 RHEL 中启用 RC4 支持
在针对 AD 域控制器进行身份验证的每个 RHEL 主机上,完成以下概述的步骤。
流程
除
DEFAULT
加密策略外,使用update-crypto-policies
命令来启用AD-SUPPORT-LEGACY
加密子策略。[root@host ~]# update-crypto-policies --set LEGACY:AD-SUPPORT-LEGACY Setting system policy to LEGACY:AD-SUPPORT-LEGACY Note: System-wide crypto policies are applied on application start-up. It is recommended to restart the system for the change of policies to fully take place.
- 重启主机。
7.4.4. 其他资源
- 请参阅使用系统范围的加密策略。
- 请参阅 信任控制器和信任代理。