1.3. AD 및 RHEL에서 공통 암호화 유형에 대한 지원 확인
기본적으로 Identity Management는 RC4, AES-128 및 AES-256 Kerberos 암호화 유형을 지원하는 교차 실제 신뢰를 설정합니다. 또한 기본적으로 SSSD 및 Samba Winbind는 RC4, AES-128 및 AES-256 Kerberos 암호화 유형을 지원합니다.
RC4 암호화는 최신 AES-128 및 AES-256 암호화 유형보다 덜 안전한 것으로 간주되므로 기본적으로 사용되지 않으며 비활성화되어 있습니다. 반면 AD(Active Directory) 사용자 자격 증명과 AD 도메인 간 신뢰는 RC4 암호화를 지원하므로 AES 암호화 유형을 지원하지 않을 수 있습니다.
일반적인 암호화 유형이 없으면 RHEL 호스트와 AD 도메인 간의 통신이 작동하지 않거나 일부 AD 계정은 인증되지 않을 수 있습니다. 이 상황을 해결하려면 아래 설명된 구성 중 하나를 수정합니다.
1.3.1. AD에서 AES 암호화 활성화(권장)
AD 포리스트의 AD(Active Directory) 도메인 간 신뢰가 강력한 AES 암호화 유형을 지원하는지 확인하려면 다음 Microsoft 문서를 참조하십시오. AD DS: 보안: 신뢰할 수 있는 도메인의 리소스에 액세스할 때 Kerberos "Unsupported etype" 오류
1.3.2. GPO를 사용하여 Active Directory의 AES 암호화 유형 활성화
이 섹션에서는 그룹 정책 개체(GPO)를 사용하여 AD(Active Directory)의 AES 암호화 유형을 활성화하는 방법을 설명합니다. IdM 클라이언트에서 Samba 서버를 실행하는 등의 RHEL의 특정 기능에는 이 암호화 유형이 필요합니다.
RHEL은 더 이상 약한 DES 및 RC4 암호화 유형을 지원하지 않습니다.
사전 요구 사항
- 그룹 정책을 편집할 수 있는 사용자로 AD에 로그인되어 있습니다.
-
그룹 정책 관리 콘솔
이 컴퓨터에 설치되어 있습니다.
절차
-
그룹 정책 관리 콘솔
을 엽니다. -
기본 도메인 정책
에서 마우스 오른쪽 버튼으로 클릭하여편집
을 선택합니다.그룹 정책 관리 편집기
가 열립니다. -
컴퓨터 구성
→정책
→Windows 설정
→보안 설정
→로컬 정책
→보안 옵션
으로 이동합니다. -
네트워크 보안을 두 번 클릭합니다. Kerberos
정책에 허용된 암호화 유형을 구성합니다. -
AES256_HMAC_SHA1
을 선택하고 선택적으로Future 암호화 유형
을 선택합니다. - OK를 클릭합니다.
-
그룹 정책 관리 편집기
를 닫습니다. -
기본 도메인 컨트롤러 정책
에 대한 단계를 반복합니다. Windows 도메인 컨트롤러(DC)가 그룹 정책을 자동으로 적용할 때까지 기다립니다. 또는 DC에서 GPO를 수동으로 적용하려면 관리자 권한이 있는 계정을 사용하여 다음 명령을 입력합니다.
C:\> gpupdate /force /target:computer
1.3.3. RHEL에서 RC4 지원 활성화
AD 도메인 컨트롤러에 대한 인증이 수행되는 모든 RHEL 호스트에서 아래 설명된 단계를 완료합니다.
절차
update-crypto-policies
명령을 사용하여DEFAULT
암호화 정책 외에도AD-SUPPORT
암호화 하위 정책을 활성화합니다.[root@host ~]# update-crypto-policies --set DEFAULT:AD-SUPPORT Setting system policy to DEFAULT:AD-SUPPORT Note: System-wide crypto policies are applied on application start-up. It is recommended to restart the system for the change of policies to fully take place.
- 호스트를 다시 시작합니다.
AD-SUPPORT
암호화 하위 정책은 RHEL 8.3 이상에서만 사용할 수 있습니다.
-
RHEL 8.2에서 RC4 지원을 활성화하려면
cipher = RC4-128+
를 사용하여 사용자 지정 암호화 모듈 정책을 만들고 활성화합니다. 자세한 내용은 하위 정책을 사용하여 시스템 전체 암호화 정책 사용자 지정을 참조하십시오. RHEL 8.0 및 RHEL 8.1에서 RC4 지원을 활성화하려면
/etc/crypto-policies/back-ends/krb5.config 파일의 allowed
_enctypes
옵션에+rc4
를 추가합니다.[libdefaults] permitted_enctypes = aes256-cts-hmac-sha1-96 aes256-cts-hmac-sha384-192 camellia256-cts-cmac aes128-cts-hmac-sha1-96 aes128-cts-hmac-sha256-128 camellia128-cts-cmac +rc4
1.3.4. 추가 리소스
- 전체 시스템 암호화 정책 사용을 참조하십시오.
- 신뢰 컨트롤러 및 신뢰 에이전트 를 참조하십시오.