25.4. Garantia de suporte para tipos comuns de criptografia em AD e RHEL

Por padrão, a Gestão de Identidade estabelece uma confiança cruzada com suporte aos tipos de criptografia RC4, AES-128 e AES-256 Kerberos.

A criptografia RC4 foi depreciada e desativada por padrão no RHEL 8, pois é considerada menos segura que os novos tipos de criptografia AES-128 e AES-256. Em contraste, as credenciais de usuário do Active Directory (AD) e os trusts entre domínios AD suportam a criptografia RC4 e podem não suportar os tipos de criptografia AES.

Sem nenhum tipo de encriptação comum, a comunicação entre os domínios de crianças IdM e AD pode não funcionar, ou algumas contas AD podem não ser capazes de autenticar. Para remediar esta situação, modifique uma das seguintes configurações:

  • Enable AES encryption support in Active Directory (recommended option): Para garantir a confiança entre os domínios AD em uma floresta AD suporta fortes tipos de criptografia AES, veja o seguinte artigo da Microsoft: AD DS: Segurança: Kerberos Erro de tipo "Unsupported etype" ao acessar um recurso em um domínio confiável
  • Enable RC4 support in RHEL: Em cada controlador de confiança da IdM, agente de confiança e cliente onde ocorre a autenticação contra controladores de domínio AD:

    1. Use o comando update-crypto-policies para ativar a subpolítica criptográfica AD-SUPPORT, além da política criptográfica DEFAULT.

      [root@host ~]# update-crypto-policies --set DEFAULT:AD-SUPPORT
      Setting system policy to DEFAULT:AD-SUPPORT
      Note: System-wide crypto policies are applied on application start-up.
      It is recommended to restart the system for the change of policies
      to fully take place.
    2. Reinicie o anfitrião.
Importante

A sub-política criptográfica AD-SUPPORT só está disponível no RHEL 8.3 e mais recente.

  • Para permitir o suporte ao RC4 no RHEL 8.2, crie e habilite uma política de módulos criptográficos personalizados com cipher = RC4-128 . Para obter mais detalhes, consulte Personalização de políticas criptográficas em todo o sistema com modificadores de políticas.
  • Para habilitar o suporte para RC4 no RHEL 8.0 e RHEL 8.1, adicione rc4 à opção permitted_enctypes no arquivo /etc/crypto-policies/back-ends/krb5.config:

    [libdefaults]
    permitted_enctypes = aes256-cts-hmac-sha1-96 aes256-cts-hmac-sha384-192 camellia256-cts-cmac aes128-cts-hmac-sha1-96 aes128-cts-hmac-sha256-128 camellia128-cts-cmac +rc4

Recursos adicionais