19.3. RHEL 8 IdM 環境に参加する RHEL 9 レプリカの FIPS コンプライアンスの確保

RHEL Identity Management (IdM) が最初に RHEL 8.6 以前のシステムにインストールされていた場合、それが使用する AES HMAC-SHA1 暗号化タイプは、FIPS モードの RHEL 9 ではデフォルトでサポートされていません。FIPS モードの RHEL 9 レプリカをデプロイメントに追加するには、暗号化ポリシーを FIPS:AD-SUPPORT に設定して、RHEL 9 システムでこれらの暗号化キーを有効にする必要があります。

暗号化ポリシーを FIPS:AD-SUPPORT に設定すると、次の暗号化タイプのサポートが追加されます。

  • aes256-cts:normal
  • aes256-cts:special
  • aes128-cts:normal
  • aes128-cts:special

前提条件

  • RHEL 9 システムで FIPS モードを有効にしました。
  • FIPS モードで RHEL 8 IdM 環境の IdM レプリカとして RHEL 9 システムを設定したいと考えています。
  • IdM マスターキーの暗号化タイプが aes256-cts-hmac-sha384-192 ではありません。詳細については、IdM マスターキーの暗号化タイプを参照 してください。

    注記

    Microsoft の Active Directory 実装は、SHA-2 HMAC を使用する RFC8009 Kerberos 暗号化タイプをまだサポートしていません。したがって、IdM-AD 信頼が設定されている場合、IdM マスターキーの暗号化タイプが aes256-cts-hmac-sha384-192 であっても、FIPS:AD-SUPPORT 暗号サブポリシーの使用が必要になります。

手順

  • RHEL 9 システムで、AES HMAC-SHA1 暗号化タイプの使用を有効にします。

    # update-crypto-policies --set FIPS:AD-SUPPORT