Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.11. Kerberos

Red Hat Enterprise Linux 6 では、Kerberos のクライアントとサーバー (KDC を含む) は des-cbc-crcdes-cbc-md4des-cbc-md5des-cbc-rawdes3-cbc-rawdes-hmac-sha1arcfour-hmac-exp などの暗号用キーを使用しないようデフォルト設定されます。デフォルトではクライアントはこのようなタイプのキーを持つサービスに対しては認証を行うことができません。
ほとんどのサービスのキータブに新しいキーセット (より強力な暗号で使用するキーも含む) を追加することができるため、 ダウンタイムを発生することがありません。 また、 サービスのキーを与えるチケットも同様に kadmin の cpw -keepold コマンドを使用してより強力な暗号で使用するキーを含んだセットに更新することができます。
弱い暗号の使用を継続する必要のあるシステムは、 一時的な迂回策として /etc/krb5.conf ファイル内の libdefaults セクションに allow_weak_crypto オプションを必要とします。 この変数は、デフォルトでは false にセットしてあるため、 このオプションを有効にしないと認証は失敗します。
[libdefaults]
allow_weak_crypto = yes
また、使用可能な共有ライブラリとしても、アプリケーション内でのサポートされている認証メカニズムとしても、Kerberos IV のサポートは削除されています。ロックアウトポリシー用に新たに追加されたサポートはデータベースダンプ形式に変更が必要となります。旧式の KDC が使用できる形式でデータベースをダンプする必要があるマスターの KDC には、-r13 オプションを付けた kdb5_util の dump コマンドを実行させる必要があります。