Menu Close
Settings Close

Language and Page Formatting Options

Red Hat Training

A Red Hat training course is available for RHEL 8

32.4. 确保支持 AD 和 RHEL 中的通用加密类型

默认情况下,身份管理建立跨领域信任关系,支持 RC4、AES-128 和 AES-256 Kerberos 加密类型。

RC4 加密已被弃用并默认禁用,因为它被视为不如较新的 AES-128 和 AES-256 加密类型安全。相反,Active Directory(AD)用户凭证和 AD 域之间的信任支持 RC4 加密,它们可能不支持 AES 加密类型。

如果没有任何常用的加密类型,IdM 和 AD 子域之间的通信可能无法正常工作,或者可能无法对一些 AD 帐户进行身份验证。要避免这种情况,请修改以下配置之一:

  • 在活动目录(推荐选项)中启用 AES 加密支持 :为了确保 AD 林中 AD 域间的信任支持强大的 AES 加密类型,请参阅以下微软文章 :AD DS: 访问受信任域中的资源时出现的 Security:Kerberos“Unsupported etype”错误
  • 在 RHEL 中启用 RC4 支持 :发生在每个 IdM 信任控制器、信任代理和进行 AD 域控制器身份验证的客户端上:

    1. 除了 DEFAULT 加密策略之外,使用 update-crypto-policies 命令来启用 AD-SUPPORT 加密子策略。

      [root@host ~]# update-crypto-policies --set DEFAULT:AD-SUPPORT
      Setting system policy to DEFAULT:AD-SUPPORT
      Note: System-wide crypto policies are applied on application start-up.
      It is recommended to restart the system for the change of policies
      to fully take place.
    2. 重启主机。
重要

AD-SUPPORT 加密子策略只在 RHEL 8.3 及更新版本中提供。

  • 要在 RHEL 8.2 中启用对 RC4 的支持,请使用 cipher = RC4-128+ 创建并启用自定义加密模块策略。如需了解更多详细信息,请参阅使用 policy modifiers 自定义系统范围的加密策略
  • 要在 RHEL 8.0 和 RHEL 8.1 中启用对 RC4 的支持,请将 +rc4 添加到 /etc/crypto-policies/back-ends/krb5.config 文件中的 permitted_enctypes 选项中:

    [libdefaults]
    permitted_enctypes = aes256-cts-hmac-sha1-96 aes256-cts-hmac-sha384-192 camellia256-cts-cmac aes128-cts-hmac-sha1-96 aes128-cts-hmac-sha256-128 camellia128-cts-cmac +rc4

其它资源