Menu Close
2.3. AD および RHEL で一般的な暗号化タイプに対応
デフォルトでは、Samba Winbind は RC4、AES-128、および AES-256 の Kerberos 暗号化タイプに対応します。
RC4 暗号化は、新しい暗号化タイプ AES-128 および AES-256 よりも安全ではないと見なされるため、デフォルトで非推奨となり、無効にされています。一方、Active Directory (AD) ユーザーの認証情報と AD ドメイン間の信頼は RC4 暗号化をサポートしており、AES 暗号化タイプに対応していない可能性があります。
一般的な暗号化タイプがないと、RHEL ホストと AD ドメイン間の通信が機能しないか、一部の AD アカウントが認証できない可能性があります。この状況を修正するには、以下の設定のいずれかを変更します。
- Active Directory での AES 暗号化サポートの有効化(推奨オプション)
- AD フォレストの AD ドメイン間の信頼で、強力な AES 暗号化タイプをサポートするようにするには、Microsoft の記事「 AD DS: Security: Kerberos "Unsupported etype" error when accessing a resource in a trusted domain」を参照してください。
- RHEL での RC4 サポートの有効化
AD ドメインコントローラーに対する認証が行われるすべての RHEL ホストで次のコマンドを実行します。
update-crypto-policiesコマンドを使用して、DEFAULT暗号化ポリシーに加えAD-SUPPORT暗号化サブポリシーを有効にします。[root@host ~]# update-crypto-policies --set DEFAULT:AD-SUPPORT Setting system policy to DEFAULT:AD-SUPPORT Note: System-wide crypto policies are applied on application start-up. It is recommended to restart the system for the change of policies to fully take place.- ホストを再起動します。
関連情報
- 「 システム全体の暗号化ポリシーの使用」を 参照してください。