Red Hat Training

A Red Hat training course is available for RHEL 8

2.4. FIPS 合规性

有了 RHEL 8.3.0 或更高版本,您可以在启用了联邦信息处理标准(FIPS) 140 模式的系统上安装新的 IdM 服务器或副本。

要在 FIPS 模式下安装 IdM,首先在主机上启用 FIPS 模式,然后安装 IdM。IdM 安装脚本会检测是否启用了 FIPS,并将 IdM 配置为只使用符合 FIPS 140 标准的加密类型:

  • aes256-cts:normal
  • aes256-cts:special
  • aes128-cts:normal
  • aes128-cts:special
  • aes128-sha2:normal
  • aes128-sha2:special
  • aes256-sha2:normal
  • aes256-sha2:special

要使 IdM 环境符合 FIPS,所有 IdM 副本都必须启用 FIPS 模式。

红帽建议您在 IdM 客户端中启用 FIPS 模式,特别是如果您可能将这些客户端提升到 IdM 副本。最终,由管理员来决定它们如何满足 FIPS 要求;红帽不强制执行 FIPS 标准。

迁移到符合 FIPS 的 IdM

您无法将现有 IdM 安装从非 FIPS 环境迁移到符合 FIPS 的安装。这不是技术问题,而是法律和监管限制。

要操作符合 FIPS 的系统,必须在 FIPS 模式下创建所有加密密钥资料。另外,加密密钥材料不得离开 FIPS 环境,除非它被安全包装,且永远不会在非 FIPS 环境中解封。

如果您的场景需要将非 FIPS IdM 领域迁移到符合 FIPS 的领域,您必须:

  1. 在 FIPS 模式下创建一个新 IdM 领域
  2. 使用阻止所有密钥材料的过滤器,从非 FIPS 领域执行到新 FIPS 模式领域的数据迁移

迁移过滤器必须阻止:

  • KDC 主密钥、keytab 以及所有相关 Kerberos 密钥材料
  • 用户密码
  • 所有证书,包括 CA、服务和用户证书
  • OTP 令牌
  • SSH 密钥和指纹
  • DNSSEC KSK 和 ZSK
  • 所有 vault 条目
  • 与 AD 信任相关的密钥材料

实际上,新的 FIPS 安装是一种不同的安装。即使具有严格的过滤,此类迁移可能无法通过 FIPS 140 认证。您的 FIPS 审核员可能会标记这个迁移。

其它资源