4.8. Kerberos

В Red Hat Enterprise Linux 6 клиенты и серверы Kerberos (включая KDC) по умолчанию не используют ключи для des-cbc-crc, des-cbc-md4, des-cbc-md5, des-cbc-raw, des3-cbc-raw, des-hmac-sha1 и arcfour-hmac-exp. Таким образом, клиенты не смогут выполнить аутентификацию и получить доступ к службам, использующим перечисленные ключи.

Многие службы могут добавлять новый набор ключей (в том числе для использования со строгим шифром) в файл ключей и заменять ключи на те, которые используются с более строгим шифром, с помощью команды администратора cpw -keepold.

Если все же необходимо продолжать использовать слабый шифр, в секцию libdefaults файла /etc/krb5.conf измените значение параметра allow_weak_crypto. По умолчанию он установлен в false, а для выполнения аутентификации потребуется изменить значение:

[libdefaults]
allow_weak_crypto = yes

Поддержка Kerberos IV (как совместной библиотеки, так и механизма аутентификации) удалена и добавлены новые правила блокирования, требующие изменения формата дампа базы данных. Основные KDC, создающие дамп в формате, который распознается старыми версиями KDC, должны выполнять команду dump с параметром -r13.