4.6. Kerberos
4.6. Kerberos
В Red Hat Enterprise Linux 6 клиенты и серверы Kerberos (включая KDC) по умолчанию не используют ключи для
des-cbc-crc
, des-cbc-md4
, des-cbc-md5
, des-cbc-raw
, des3-cbc-raw
, des-hmac-sha1
и arcfour-hmac-exp
. Таким образом, клиенты не смогут выполнить аутентификацию и получить доступ к службам, использующим подобные ключи.
Многие службы могут добавлять новый набор ключей (в том числе для использования со строгим шифром) в файл ключей для поддержки работоспособности и заменять ключи на те, которые используются с более строгим шифром, с помощью команды администратора
cpw -keepold
.
Если все же необходимо продолжать использовать слабый шифр, в секцию libdefaults файла
/etc/krb5.conf
добавьте параметр allow_weak_crypto
. По умолчанию он установлен в false, а для выполнения аутентификации потребуется изменить значение:
[libdefaults] allow_weak_crypto = yes
Поддержка Kerberos IV (как совместной библиотеки, так и механизма аутентификации) удалена и добавлена поддержка блокирования, требующая изменения формата дампа базы данных. Основные KDC, создающие дамп в формате, который распознается старыми версиями KDC, должны выполнять команду
dump
с параметром -r13
.