6.4.8. Gestión de la identidad

openssh-ldap ha quedado obsoleto

El subpaquete openssh-ldap ha sido obsoleto en Red Hat Enterprise Linux 8 y será eliminado en RHEL 9. Como el subpaquete openssh-ldap no se mantiene en el upstream, Red Hat recomienda utilizar SSSD y el helper sss_ssh_authorizedkeys, que se integran mejor con otras soluciones IdM y son más seguras.

Por defecto, los proveedores SSSD ldap e ipa leen el atributo LDAP sshPublicKey del objeto usuario, si está disponible. Tenga en cuenta que no puede utilizar la configuración predeterminada de SSSD para el proveedor de anuncios o los dominios de confianza de IdM para recuperar claves públicas SSH de Active Directory (AD), ya que AD no tiene un atributo LDAP predeterminado para almacenar una clave pública.

Para permitir que el ayudante sss_ssh_authorizedkeys obtenga la clave de SSSD, habilite el respondedor ssh añadiendo ssh a la opción de servicios en el archivo sssd.conf. Consulte la página man de sssd.conf(5 ) para más detalles.

Para permitir que sshd utilice sss_ssh_authorizedkeys, añada las opciones AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys y AuthorizedKeysCommandUser nobody al archivo /etc/ssh/sshd_config como se describe en la página man de sss_ssh_authorizedkeys(1).

(BZ#1871025)

Se han eliminado los tipos de cifrado DES y 3DES

Debido a razones de seguridad, el algoritmo del Estándar de Encriptación de Datos (DES) ha sido obsoleto y deshabilitado por defecto desde RHEL 7. Con la reciente actualización de los paquetes de Kerberos, los tipos de cifrado Single-DES (DES) y Triple-DES (3DES) se han eliminado de RHEL 8.

Si has configurado los servicios o los usuarios para que sólo utilicen el cifrado DES o 3DES, podrías experimentar interrupciones del servicio como:

  • Errores de autenticación de Kerberos
  • errores de codificación detipo de letra desconocido
  • Los centros de distribución de Kerberos (KDC) con claves maestras de bases de datos encriptadas con DES (K/M) no se inician

Realice las siguientes acciones para preparar la actualización:

  1. Compruebe si su KDC utiliza el cifrado DES o 3DES con los scripts de código abierto Python krb5check. Consulte krb5check en GitHub.
  2. Si utiliza el cifrado DES o 3DES con alguna entidad de crédito de Kerberos, vuelva a cifrarla con un tipo de cifrado compatible, como el estándar de cifrado avanzado (AES). Para obtener instrucciones sobre el cambio de claves, consulte Retirar DES en la documentación de MIT Kerberos.

  3. Pruebe la independencia de DES y 3DES configurando temporalmente las siguientes opciones de Kerberos antes de la actualización:

    1. En /var/kerberos/krb5kdc/kdc.conf en el KDC, establezca supported_enctypes y no incluya des o des3.
    2. Para cada host, en /etc/krb5.conf y cualquier archivo en /etc/krb5.conf.d, establece allow_weak_crypto como falso. Es falso por defecto.
    3. Para cada host, en /etc/krb5.conf y cualquier archivo en /etc/krb5.conf.d, establezca permitted_enctypes, default_tgs_enctypes, y default_tkt_enctypes y no incluya des o des3.
  4. Si no experimenta ninguna interrupción del servicio con la configuración de Kerberos de prueba del paso anterior, elimínela y actualice. No necesita esos ajustes después de actualizar a los últimos paquetes de Kerberos.

(BZ#1877991)