マスター KDC および Kerberos 主体の鍵を作成する前に、次の手順を実行します。マスター KDC を手動で構成する方法で説明したように、マスター KDC を手動で構成する際は、次の手順を実行するようにしてください。
始める前に
Kerberos を FIPS 140-2 モードで実行するには、システムの FIPS 140-2 モードを有効にする必要があります。Oracle Solaris 11.3 での暗号化と証明書の管理 の FIPS 140-2 が有効になったブート環境を作成する方法を参照してください。
kdc.conf ファイルの [realms] セクションで、KDC データベースのマスター鍵のタイプを設定します。
# pfedit /etc/krb5/kdc.conf ... master_key_type = des3-cbc-sha1-kd
コマンドを実行して暗号化を設定することもできるため、構成ファイルでコマンドへの非 FIPS 140-2 アルゴリズム引数の使用を禁止するようにしてください。
supported_enctypes = des3-cbc-sha1-kd:normal
これらのパラメータによって、Kerberos サーバー、サービス、およびクライアント用の暗号化タイプが制限されます。
# pfedit /etc/krb5/krb5.conf default_tgs_enctypes = des3-cbc-sha1-kd default_tkt_enctypes = des3-cbc-sha1-kd permitted_enctypes = des3-cbc-sha1-kd
allow_weak_enctypes = false
トラブルシューティング
Kerberos 暗号化タイプを参照してください。