Menu Close
Settings Close

Language and Page Formatting Options

Red Hat Training

A Red Hat training course is available for RHEL 8

1.3. IdM 的自定义配置要求

在干净的系统上安装身份管理(IdM)服务器,无需为 DNS、Kerberos、Apache 或 Directory Server 等服务进行任何自定义配置。

IdM 服务器安装覆盖了系统文件来设置 IdM 域。IdM 将原始系统文件备份到 /var/lib/ipa/sysrestore/。当在生命周期结束时卸载 IdM 服务器时,会恢复这些文件。

IdM 中的 IPv6 要求

IdM 系统必须在内核中启用 IPv6 协议。如果禁用 IPv6,IdM 服务使用的 CLDAP 插件将无法初始化。

注意

不必在网络中启用 IPv6。

支持 IdM 中的加密类型

Red Hat Enterprise Linux (RHEL)使用 Kerberos 协议版本 5,它支持加密类型,如高级加密标准(AES)、Camellia 和数据加密标准(DES)。

支持的加密类型列表

虽然 IdM 服务器和客户端上的 Kerberos 库可能会支持更多的加密类型,但 IdM Kerberos 分发中心(KDC)只支持以下加密类型:

  • aes256-cts:normal
  • aes256-cts:special (默认)
  • aes128-cts:normal
  • aes128-cts:special (默认)
  • aes128-sha2:normal
  • aes128-sha2:special
  • aes256-sha2:normal
  • aes256-sha2:special
  • camellia128-cts-cmac:normal
  • camellia128-cts-cmac:special
  • camellia256-cts-cmac:normal
  • camellia256-cts-cmac:special

默认禁用 RC4 加密类型

RHEL 8 中已弃用并默认禁用以下 RC4 加密类型,因为它们被视为不如较新的 AES-128 和 AES-256 加密类型安全:

  • arcfour-hmac:normal
  • arcfour-hmac:special

有关手动启用 RC4 支持以与遗留的 Active Directory 环境兼容的更多信息,请参阅确保支持 AD 和 RHEL 中的通用加密类型

删除了对 DES 和 3DES 加密的支持

由于安全考虑,在 RHEL 7 中弃用了对 DES 算法的支持。RHEL 8.3.0 中最近重新构建的 Kerberos 软件包从 RHEL 8 中删除了对 single-DES(DES)和 triple-DES(3DES)加密类型的支持。

注意

标准 RHEL 8 IdM 安装默认不使用 DES 或 3DES 加密类型,且不受 Kerberos 升级的影响。

如果您手动配置任何服务或用户只使用DES或 3DES 加密(例如,对于遗留的客户端),您可能会在升级到最新的 Kerberos 软件包后遇到服务中断,例如:

  • Kerberos 验证错误
  • unknown enctype 加密错误
  • 带有 DES 加密数据库主密钥 (K/M) 的 KDC 无法启动

红帽建议不要在您的环境中使用 DES 或者 3DES 加密。

注意

如果您将环境配置成了使用DES和3DES加密类型,则只需要禁用它们。

支持 IdM 中系统范围的加密策略

IdM 使用 DEFAULT 系统范围的加密策略。此政策为当前威胁模型提供安全设置。它允许 TLS 1.2 和 1.3 协议,以及 IKEv2 和 SSH2 协议。如果 RSA 密钥和 Diffie-Hellman 参数至少是 2048 位,则可以接受它们。此策略不允许 DES、3DES、RC4、DSA、TLS v1.0 和其他较弱的算法。

注意

您不能使用 FUTURE 系统范围的加密策略来安装 IdM 服务器。安装 IdM 服务器时,请确保您使用的是 DEFAULT 系统范围的加密策略。

FIPS 合规性

在 RHEL 8.3.0 或更高版本中,您可以在启用了联邦信息处理标准(FIPS)模式的系统上安装新的 IdM 服务器或副本。

要使用 FIPS 安装 IdM,首先在主机上启用 FIPS 模式,然后安装 IdM。IdM 安装脚本会检测是否启用了 FIPS,并将 IdM 配置为只使用与 FIPS 140-2 兼容的加密类型。

  • aes256-cts:normal
  • aes256-cts:special
  • aes128-cts:normal
  • aes128-cts:special
  • aes128-sha2:normal
  • aes128-sha2:special
  • aes256-sha2:normal
  • aes256-sha2:special

要使 IdM 环境符合 FIPS,所有 IdM 副本都必须启用 FIPS 模式。

红帽建议您在 IdM 客户端中也启用 FIPS,特别是您可以将这些客户端提升到 IdM 副本。最终,由管理员来决定它们如何满足 FIPS 要求;红帽不强制执行 FIPS 标准。

支持启用了 FIPS 模式的跨林信任

要在启用了 FIPS 模式的同时建立与 Active Directory(AD)域的跨林信任,您必须满足以下要求:

  • IdM 服务器位于 RHEL 8.4.0 或更高版本中。
  • 在设置信任时,您必须使用 AD 管理帐户验证。在启用 FIPS 模式时,您无法使用共享 secret 建立信任。
重要

RADIUS 身份验证不符合 FIPS,因为 RADIUS 协议使用 MD5 哈希功能来在客户端和服务器之间加密密码,在 FIPS 模式中,OpenSSL 禁用 MD5 摘要算法的使用。但是,如果 RADIUS 服务器与 IdM 服务器运行在同一台主机上,您可以临时解决这个问题,并通过执行 如何在 FIPS 模式中配置 FreeRADIUS 身份验证 中描述的步骤来启用 MD5 。

其它资源