在 Oracle® Solaris 11.2 中管理 Kerberos 和其他验证服务

退出打印视图

更新时间: 2014 年 9 月
 
 

如何配置 Kerberos 以 FIPS 140 模式运行

开始之前

要使 Kerberos 以 FIPS 140 模式运行,必须在系统上启用 FIPS 140 模式。请参见在 Oracle Solaris 11.2 中管理加密和证书 中的创建启用了 FIPS 140 的引导环境

  1. 编辑 KDC 加密类型。

    kdc.conf 文件的 [realms] 一节中,设置 KDC 数据库的主密钥类型:

    # pfedit  /etc/krb5/kdc.conf    
    ...
    master_key_type = des3-cbc-sha1-kd
  2. 在同一文件中,显式禁止其他加密类型。

    由于还可以通过运行命令设置加密,因此配置文件应禁止在命令中使用非 FIPS 140 算法参数。

            supported_enctypes = des3-cbc-sha1-kd:normal
  3. krb5.conf 文件的 [libdefaults] 一节中,编辑事务的加密类型。

    这些参数限制 Kerberos 服务器、服务和客户机的加密类型。

    # pfedit /etc/krb5/krb5.conf
            default_tgs_enctypes = des3-cbc-sha1-kd
            default_tkt_enctypes = des3-cbc-sha1-kd
            permitted_enctypes = des3-cbc-sha1-kd
  4. 在同一文件中,显式禁止弱加密类型。
            allow_weak_enctypes = false

故障排除

请参见Kerberos 加密类型