开始之前
要使 Kerberos 以 FIPS 140 模式运行,必须在系统上启用 FIPS 140 模式。请参见在 Oracle Solaris 11.2 中管理加密和证书 中的创建启用了 FIPS 140 的引导环境 。
在 kdc.conf 文件的 [realms] 一节中,设置 KDC 数据库的主密钥类型:
# pfedit /etc/krb5/kdc.conf ... master_key_type = des3-cbc-sha1-kd
由于还可以通过运行命令设置加密,因此配置文件应禁止在命令中使用非 FIPS 140 算法参数。
supported_enctypes = des3-cbc-sha1-kd:normal
这些参数限制 Kerberos 服务器、服务和客户机的加密类型。
# pfedit /etc/krb5/krb5.conf default_tgs_enctypes = des3-cbc-sha1-kd default_tkt_enctypes = des3-cbc-sha1-kd permitted_enctypes = des3-cbc-sha1-kd
allow_weak_enctypes = false
故障排除
请参见Kerberos 加密类型。