Red Hat Training
A Red Hat training course is available for RHEL 8
34.4. AD 및 RHEL에서 공통 암호화 유형 지원
기본적으로 Identity Management는 RC4, AES-128 및 AES-256 Kerberos 암호화 유형을 지원하여 교차 영역의 신뢰를 설정합니다. 또한 기본적으로 SSSD 및 Samba Winbind는 RC4, AES-128 및 AES-256 Kerberos 암호화 유형을 지원합니다.
RC4 암호화는 최신 AES-128 및 AES-256 암호화 유형보다 덜 안전한 것으로 간주되므로 기본적으로 더 이상 사용되지 않으며 비활성화되어 있습니다. 반면 AD(Active Directory) 사용자 자격 증명과 AD 도메인 간의 신뢰는 RC4 암호화를 지원하며 모든 AES 암호화 유형을 지원하지 않을 수 있습니다.
일반적인 암호화 유형이 없으면 RHEL 호스트와 AD 도메인 간의 통신이 작동하지 않거나 일부 AD 계정이 인증되지 않을 수 있습니다. 이 상황을 해결하려면 다음 섹션에 설명된 구성 중 하나를 수행합니다.
IdM이 FIPS 모드인 경우 IdM-AD 통합은 RC4 또는 AES HMAC-SHA1 암호화만 지원하는 경우에만 AD로 인해 작동하지 않지만 FIPS 모드의 RHEL 9에서는 기본적으로 AES HMAC-SHA2만 허용합니다. RHEL 9에서 AES HMAC-SHA1 사용을 활성화하려면 # update-crypto-policies --set FIPS:AD-SUPPORT 를 입력합니다.
IdM은 Common Criteria 평가 시스템에서만 사용해야 하는 보다 제한적인 FIPS:OSPP 암호화 정책을 지원하지 않습니다.
34.4.1. AD에서 AES 암호화 활성화(권장)
AD 포리스트의 AD(Active Directory) 도메인 간 신뢰가 강력한 AES 암호화 유형을 지원하는지 확인하려면 다음 Microsoft 문서를 참조하십시오. AD DS: 보안: 신뢰할 수 있는 도메인의 리소스에 액세스할 때 Kerberos "Unsupported etype" 오류
34.4.2. GPO를 사용하여 Active Directory의 AES 암호화 유형 활성화
이 섹션에서는 그룹 정책 개체(GPO)를 사용하여 AD(Active Directory)의 AES 암호화 유형을 활성화하는 방법을 설명합니다. IdM 클라이언트에서 Samba 서버를 실행하는 등의 RHEL의 특정 기능에는 이 암호화 유형이 필요합니다.
RHEL은 더 이상 약한 DES 및 RC4 암호화 유형을 지원하지 않습니다.
사전 요구 사항
- 그룹 정책을 편집할 수 있는 사용자로 AD에 로그인되어 있습니다.
-
그룹 정책 관리 콘솔이 컴퓨터에 설치되어 있습니다.
절차
-
그룹 정책 관리 콘솔을 엽니다. -
기본 도메인 정책에서 마우스 오른쪽 버튼으로 클릭하여편집을 선택합니다.그룹 정책 관리 편집기가 열립니다. -
컴퓨터 구성→정책→Windows 설정→보안 설정→로컬 정책→보안 옵션으로 이동합니다. -
네트워크 보안을 두 번 클릭합니다. Kerberos정책에 허용된 암호화 유형을 구성합니다. -
AES256_HMAC_SHA1을 선택하고 선택적으로Future 암호화 유형을 선택합니다. - OK를 클릭합니다.
-
그룹 정책 관리 편집기를 닫습니다. -
기본 도메인 컨트롤러 정책에 대한 단계를 반복합니다. Windows 도메인 컨트롤러(DC)가 그룹 정책을 자동으로 적용할 때까지 기다립니다. 또는 DC에서 GPO를 수동으로 적용하려면 관리자 권한이 있는 계정을 사용하여 다음 명령을 입력합니다.
C:\> gpupdate /force /target:computer
34.4.3. RHEL에서 RC4 지원 활성화
AD 도메인 컨트롤러에 대한 인증이 수행되는 모든 RHEL 호스트에서 아래 설명된 단계를 완료합니다.
절차
update-crypto-policies명령을 사용하여DEFAULT암호화 정책 외에AD-SUPPORT암호화 하위 정책을 활성화합니다.[root@host ~]# update-crypto-policies --set DEFAULT:AD-SUPPORT Setting system policy to DEFAULT:AD-SUPPORT Note: System-wide crypto policies are applied on application start-up. It is recommended to restart the system for the change of policies to fully take place.- 호스트를 다시 시작합니다.
AD-SUPPORT 암호화 하위 정책은 RHEL 8.3 이상에서만 사용할 수 있습니다.
-
RHEL 8.2에서 RC4에 대한 지원을 활성화하려면
암호 = RC4-128+를 사용하여 사용자 정의 암호화 모듈 정책을 생성 및 활성화합니다. 자세한 내용은 하위 정책을 사용하여 시스템 전체 암호화 정책 사용자 지정을 참조하십시오. RHEL 8.0 및 RHEL 8.1에서 RC4에 대한 지원을 활성화하려면
/etc/crypto-policies/back-ends/krb5.config파일의permitted_enctypes옵션에+rc4를 추가합니다.[libdefaults] permitted_enctypes = aes256-cts-hmac-sha1-96 aes256-cts-hmac-sha384-192 camellia256-cts-cmac aes128-cts-hmac-sha1-96 aes128-cts-hmac-sha256-128 camellia128-cts-cmac +rc4
34.4.4. 추가 리소스
- 전체 시스템 암호화 정책 사용을 참조하십시오.
- 신뢰 컨트롤러 및 신뢰 에이전트 를 참조하십시오.
