1.2.2. Suporte para tipos de criptografia na IdM

O Red Hat Enterprise Linux (RHEL) usa a Versão 5 do protocolo Kerberos, que suporta tipos de criptografia como Padrão Avançado de Criptografia (AES), Camélia e Padrão de Criptografia de Dados (DES).

Lista de tipos de criptografia suportados

Enquanto as bibliotecas Kerberos nos servidores e clientes da IdM podem suportar mais tipos de criptografia, o Centro de Distribuição IdM Kerberos (KDC) suporta apenas os seguintes tipos de criptografia:

  • aes256-cts:normal
  • aes256-cts:special (padrão)
  • aes128-cts:normal
  • aes128-cts:special (padrão)
  • aes128-sha2:normal
  • aes128-sha2:special
  • aes256-sha2:normal
  • aes256-sha2:special
  • camellia128-cts-cmac:normal
  • camellia128-cts-cmac:special
  • camellia256-cts-cmac:normal
  • camellia256-cts-cmac:special

Os tipos de criptografia RC4 são desativados por padrão

Os seguintes tipos de criptografia RC4 foram depreciados e desativados por padrão no RHEL 8, pois são considerados menos seguros que os novos tipos de criptografia AES-128 e AES-256:

  • arcfour-hmac:normal
  • arcfour-hmac:special

Para mais informações sobre como habilitar manualmente o suporte RC4 para compatibilidade com ambientes herdados do Active Directory, consulte Garantia de suporte para tipos comuns de criptografia em AD e RHEL.

O suporte para criptografia DES e 3DES foi removido

Devido a razões de segurança, o suporte ao algoritmo DES foi depreciado no RHEL 7. A recente rebase dos pacotes Kerberos no RHEL 8.3.0 remove o suporte para os tipos de criptografia de um-DES (DES) e três-DES (3DES) do RHEL 8.

Nota

As instalações padrão da RHEL 8 IdM não utilizam os tipos de criptografia DES ou 3DES por padrão e não são afetadas pela atualização do Kerberos.

Se você configurou manualmente quaisquer serviços ou usuários para only usar criptografia DES ou 3DES (por exemplo, para clientes antigos), você poderá experimentar interrupções de serviço após a atualização para os últimos pacotes Kerberos, como por exemplo:

  • Erros de autenticação Kerberos
  • unknown enctype erros de criptografia
  • Os KDCs com chaves mestras criptografadas em DES (K/M) não conseguem iniciar

A Red Hat recomenda que você não use a criptografia DES ou 3DES em seu ambiente.

Nota

Você só precisa desativar os tipos de criptografia DES e 3DES se você configurou seu ambiente para usá-los.