Red Hat Training
A Red Hat training course is available for RHEL 8
34.4. AD および RHEL で一般的な暗号化タイプに対応
デフォルトでは、Identity Management は RC4、AES-128、および AES-256 の Kerberos 暗号化タイプに対応するレルム間の信頼を確立します。さらに、デフォルトでは、SSSD と Samba Winbind は RC4、AES-128、および AES-256 の Kerberos 暗号化タイプに対応します。
RC4 暗号化は、新しい暗号化タイプ AES-128 および AES-256 よりも安全ではないと見なされるため、デフォルトで非推奨となり、無効にされています。対照的に、Active Directory (AD) ユーザー認証情報と AD ドメイン間の信頼は RC4 暗号化をサポートしており、すべての AES 暗号化タイプをサポートしているわけではない可能性があります。
一般的な暗号化タイプがないと、RHEL ホストと AD ドメイン間の通信が機能しないか、一部の AD アカウントが認証できない可能性があります。この状況に対処するには、次のセクションで説明する設定のいずれかを実行します。
IdM が FIPS モードの場合、AD は RC4 または AES HMAC-SHA1 暗号化の使用のみをサポートし、FIPS モードの RHEL 9 ではデフォルトで AES HMAC-SHA2 のみが許可されるため、IdM-AD 統合は機能しません。RHEL 9 で AES HMAC-SHA1 の使用を有効にするには、# update-crypto-policies --set FIPS:AD-SUPPORT と入力します。
IdM は、より制限の厳しい FIPS:OSPP 暗号化ポリシーをサポートしていません。このポリシーは、Common Criteria 評価済みシステムでのみ使用する必要があります。
34.4.1. AD での AES 暗号化の有効化 (推奨)
AD フォレストの Active Directory (AD) ドメイン間の信頼を確保して、強力な AES 暗号化の種類に対応するには、Microsoft の記事 AD DS: Security: Kerberos "Unsupported etype" error when accessing a resource in a trusted domain を参照してください。
34.4.2. GPO を使用した Active Directory で AES 暗号化タイプの有効化
本セクションでは、グループポリシーオブジェクト (GPO) を使用して、Active Directory (AD) で AES 暗号化タイプを有効にする方法を説明します。IdM クライアントで Samba サーバーを実行するなど、RHEL の特定の機能には、この暗号化タイプが必要です。
RHEL は、弱い DES および RC4 の暗号化タイプをサポートしなくなった点に注意してください。
前提条件
- グループポリシーを編集できるユーザーとして AD にログインしている。
-
Group Policy Management Consoleがコンピューターにインストールされている。
手順
-
Group Policy Management Consoleを開きます。 -
デフォルトドメインポリシーを右クリックして、編集を選択します。Group Policy Management Editorを閉じます。 -
コンピューターの設定→ポリシー→Windows の設定→セキュリティーの設定→ローカルポリシー→セキュリティーオプションに移動します。 -
ネットワーク セキュリティー: Kerberos で許可する暗号化の種類を設定するをダブルクリックします。 -
AES256_HMAC_SHA1を選択し、必要に応じて、将来の暗号化タイプを選択します。 - OK をクリックします。
-
Group Policy Management Editorを閉じます。 -
デフォルトのドメインコントローラーポリシーに対して手順を繰り返します。 Windows ドメインコントローラー (DC) がグループポリシーを自動的に適用するまで待ちます。または、GPO を DC に手動で適用するには、管理者権限を持つアカウントを使用して次のコマンドを入力します。
C:\> gpupdate /force /target:computer
34.4.3. RHEL での RC4 サポートの有効化
AD ドメインコントローラーに対する認証が行われるすべての RHEL ホストで、以下に概説する手順を実行します。
手順
update-crypto-policiesコマンドを使用して、DEFAULT暗号化ポリシーに加えAD-SUPPORT暗号化サブポリシーを有効にします。[root@host ~]# update-crypto-policies --set DEFAULT:AD-SUPPORT Setting system policy to DEFAULT:AD-SUPPORT Note: System-wide crypto policies are applied on application start-up. It is recommended to restart the system for the change of policies to fully take place.- ホストを再起動します。
AD-SUPPORT 暗号化サブポリシーは、RHEL 8.3 以降でのみ利用できます。
-
RHEL 8.2 以前は RC4 のサポートを有効にするには、
cipher = RC4-128+でカスタム暗号化モジュールポリシーを作成および有効にします。詳細は、サブポリシーを使用したシステム全体の暗号化ポリシーのカスタマイズ を参照してください。 RHEL 8.0 および RHEL 8.1 で RC4 のサポートを有効にするには、
/etc/crypto-policies/back-ends/krb5.configファイルのpermitted_enctypesオプションに+rc4を追加します。[libdefaults] permitted_enctypes = aes256-cts-hmac-sha1-96 aes256-cts-hmac-sha384-192 camellia256-cts-cmac aes128-cts-hmac-sha1-96 aes128-cts-hmac-sha256-128 camellia128-cts-cmac +rc4
34.4.4. 関連情報
- Using system-wide cryptographic policies を参照してください。
- 信頼コントローラーおよび信頼エージェント を参照してください。
