4.6. Kerberos

4.6. Kerberos

В Red Hat Enterprise Linux 6 клиенты и серверы Kerberos (включая KDC) по умолчанию не используют ключи для des-cbc-crc, des-cbc-md4, des-cbc-md5, des-cbc-raw, des3-cbc-raw, des-hmac-sha1 и arcfour-hmac-exp. Таким образом, клиенты не смогут выполнить аутентификацию и получить доступ к службам, использующим подобные ключи.
Многие службы могут добавлять новый набор ключей (в том числе для использования со строгим шифром) в файл ключей для поддержки работоспособности и заменять ключи на те, которые используются с более строгим шифром, с помощью команды администратора cpw -keepold.
Если все же необходимо продолжать использовать слабый шифр, в секцию libdefaults файла /etc/krb5.conf добавьте параметр allow_weak_crypto. По умолчанию он установлен в false, а для выполнения аутентификации потребуется изменить значение:
[libdefaults]
allow_weak_crypto = yes
Поддержка Kerberos IV (как совместной библиотеки, так и механизма аутентификации) удалена и добавлена поддержка блокирования, требующая изменения формата дампа базы данных. Основные KDC, создающие дамп в формате, который распознается старыми версиями KDC, должны выполнять команду dump с параметром -r13.