2.3. Garantizar la compatibilidad con los tipos de cifrado comunes en AD y RHEL
Por defecto, Samba Winbind soporta los tipos de cifrado RC4, AES-128 y AES-256 Kerberos.
El cifrado RC4 ha sido obviado y deshabilitado por defecto en RHEL 8, ya que se considera menos seguro que los nuevos tipos de cifrado AES-128 y AES-256. Por el contrario, las credenciales de usuario de Active Directory (AD) y los fideicomisos entre dominios AD admiten el cifrado RC4 y es posible que no admitan los tipos de cifrado AES.
Sin ningún tipo de cifrado común, es posible que la comunicación entre los hosts RHEL y los dominios AD no funcione, o que algunas cuentas AD no puedan autenticarse. Para remediar esta situación, modifique una de las siguientes configuraciones:
- Enable AES encryption support in Active Directory (recommended option): Para garantizar que los fideicomisos entre los dominios de AD en un bosque de AD admiten tipos de cifrado AES fuertes, consulte el siguiente artículo de Microsoft: AD DS: Seguridad: Kerberos \ "Unsupported etype" error al acceder a un recurso en un dominio de confianza
Enable RC4 support in RHEL: En cada host RHEL donde se realiza la autenticación contra los controladores de dominio AD:
Utilice el comando
update-crypto-policies
para activar la subpolítica criptográficaAD-SUPPORT
además de la política criptográficaDEFAULT
.[root@host ~]# update-crypto-policies --set DEFAULT:AD-SUPPORT Setting system policy to DEFAULT:AD-SUPPORT Note: System-wide crypto policies are applied on application start-up. It is recommended to restart the system for the change of policies to fully take place.
- Reinicia el host.
La subpolítica criptográfica AD-SUPPORT
sólo está disponible en RHEL 8.3 y posteriores.
-
Para habilitar la compatibilidad con RC4 en RHEL 8.2, cree y habilite una política de módulo criptográfico personalizada con
cipher = RC4-128
. Para obtener más detalles, consulte Personalizar las políticas criptográficas de todo el sistema con modificadores de políticas. Para habilitar la compatibilidad con RC4 en RHEL 8.0 y RHEL 8.1, añada
rc4
a la opciónpermitted_enctypes
en el archivo/etc/crypto-policies/back-ends/krb5.config
:[libdefaults] permitted_enctypes = aes256-cts-hmac-sha1-96 aes256-cts-hmac-sha384-192 camellia256-cts-cmac aes128-cts-hmac-sha1-96 aes128-cts-hmac-sha256-128 camellia128-cts-cmac +rc4
Recursos adicionales
- Para obtener más información sobre cómo trabajar con las políticas criptográficas de RHEL, consulte Uso de políticas criptográficas en todo el sistema en la guía de endurecimiento de la seguridad.