Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
4.8. Kerberos
В Red Hat Enterprise Linux 6 клиенты и серверы Kerberos (включая KDC) по умолчанию не используют ключи для
des-cbc-crc
, des-cbc-md4
, des-cbc-md5
, des-cbc-raw
, des3-cbc-raw
, des-hmac-sha1
и arcfour-hmac-exp
. Таким образом, клиенты не смогут выполнить аутентификацию и получить доступ к службам, использующим перечисленные ключи.
Многие службы могут добавлять новый набор ключей (в том числе для использования со строгим шифром) в файл ключей и заменять ключи на те, которые используются с более строгим шифром, с помощью команды администратора
cpw -keepold
.
Если все же необходимо продолжать использовать слабый шифр, в секцию libdefaults файла
/etc/krb5.conf
измените значение параметра allow_weak_crypto
. По умолчанию он установлен в false, а для выполнения аутентификации потребуется изменить значение:
[libdefaults] allow_weak_crypto = yes
Поддержка Kerberos IV (как совместной библиотеки, так и механизма аутентификации) удалена и добавлены новые правила блокирования, требующие изменения формата дампа базы данных. Основные KDC, создающие дамп в формате, который распознается старыми версиями KDC, должны выполнять команду
dump
с параметром -r13
.