Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.11. Kerberos

在红帽企业版 Linux 6 中,Kerberos 客户端和服务器(包括 KDC)将默认对加密程序 des-cbc-crcdes-cbc-md4des-cbc-md5des-cbc-rawdes3-cbc-rawdes-hmac-sha1arcfour-hmac-exp 不使用秘钥。默认客户端将不能通过验证使用这些秘钥类型的服务。
大多数服务可在其密钥标签中添加一组新的密钥(其中包括用来使加密效果更强大的密钥)且不会感到中断。同时可使用 kadmin 的 cpw -keepold 命令将提供服务密钥的 ticket 更新为一组包括用来使加密效果更强大的密钥。
作为临时解决方案,那些需要继续使用较弱加密程序的系统需要在 /etc/krb5.conf 文件的 libdefaults 部分的 allow_weak_crypto 选项。默认将这个变量设定为 false,如不启动此选项验证就会失败:
[libdefaults]
allow_weak_crypto = yes
此外,对 Kerberos IV 的支持,作为应用程序中可用的共享库和受支持的认证机制,已经被移除。新添加的对锁定策略的支持需要更改数据库转储格式。需要转储数据库到旧的 KDC 可用的格式的主 KDC 必须运行 kdb5_util 的 dump 命令和 -r13 选项。