搜索

7.4. 确保支持 AD 和 RHEL 中的通用加密类型

download PDF

默认情况下,身份管理建立跨领域信任关系,支持 RC4、AES-128 和 AES-256 Kerberos 加密类型。另外,默认情况下,SSSD 和 Samba Winbind 支持 RC4、AES-128 和 AES-256 Kerberos 加密类型。

RC4 加密已被弃用并默认禁用,因为它被视为不如较新的 AES-128 和 AES-256 加密类型安全。相反,活动目录(AD)用户凭证和 AD 域之间的信任支持 RC4 加密,但它们可能不支持所有 AES 加密类型。

如果没有任何常用的加密类型,RHEL 和 AD 域之间的通信可能无法正常工作,或者可能无法对一些 AD 帐户进行身份验证。要解决这种情况,请执行以下部分中概述的配置之一。

重要

如果 IdM 在 FIPS 模式下,IdM-AD 集成会因为 AD 只支持使用 RC4 或 AES HMAC-SHA1 加密而无法工作,而 FIPS 模式下的 RHEL 9 默认只允许 AES HMAC-SHA2。要在 RHEL 9 中启用 AES HMAC-SHA1,请输入 # update-crypto-policies --set FIPS:AD-SUPPORT

IdM 不支持更严格的 FIPS:OSPP 加密策略,该策略只能用在通用标准评估的系统上。

注意

在 AD 和启用了 FIPS 模式的身份管理 IdM 之间建立双向跨林信任失败,因为 New Technology LAN Manager Security Support Provider (NTLMSSP)身份验证不符合 FIPS。FIPS 模式下的 IdM 不接受 AD 域控制器在尝试验证时使用的 RC4 NTLM 哈希。

7.4.1. 在 AD 中启用 AES 加密(推荐)

要确保 AD 林中活动目录(AD)域之间的信任支持强大的 AES 加密类型,请参阅以下 Microsoft 文章 AD DS: 安全:访问信任域中资源时的 Kerberos "Unsupported etype" 错误

7.4.2. 使用 GPO 在 Active Directory 中启用 AES 加密类型

这部分描述了如何使用组策略对象(GPO)在 Active Directory(AD)中启用 AES 加密类型。RHEL 上的某些功能(如在 IdM 客户端上运行 Samba 服务器)需要这个加密类型。

请注意,RHEL 不再支持弱 DES 和 RC4 加密类型。

先决条件

  • 以可编辑组策略的用户身份登录到 AD。
  • 计算机上安装了组策略管理控制台

流程

  1. 打开组策略管理控制台
  2. 右键单击默认域策略,然后选择编辑。打开组策略管理编辑器
  3. 导航到 计算机配置 策略 Windows 设置 安全设置 本地策略 安全选项
  4. 双击 网络安全:配置 Kerberos 策略允许的加密类型
  5. 选择AES256_HMAC_SHA1和可选的未来加密类型
  6. 确定
  7. 关闭组策略管理编辑器
  8. 默认域控制器策略重复上述步骤。
  9. 等待 Windows 域控制器(DC)自动应用组策略。或者,如果要在 DC 上手动应用 GPO,请使用具有管理员权限的帐户输入以下命令:

    C:\> gpupdate /force /target:computer

7.4.3. 在 RHEL 中启用 RC4 支持

在针对 AD 域控制器进行身份验证的每个 RHEL 主机上,完成以下概述的步骤。

流程

  1. DEFAULT 加密策略外,使用 update-crypto-policies 命令来启用 AD-SUPPORT-LEGACY 加密子策略。

    [root@host ~]# update-crypto-policies --set LEGACY:AD-SUPPORT-LEGACY
    Setting system policy to LEGACY:AD-SUPPORT-LEGACY
    Note: System-wide crypto policies are applied on application start-up.
    It is recommended to restart the system for the change of policies
    to fully take place.
  2. 重启主机。

7.4.4. 其他资源

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.