Проблема с типом шифрования при керберизации в РЕД ОС
При установке ADQM на хост с операционной системой РЕД ОС и попытке керберизации кластера с помощью Active Directory керберизация может быть прервана на этапе выполнения команды kinit со следующей ошибкой:
kinit: KDC has no support for encryption type while getting initial credentials
Причина
Проблема возникает из-за разных наборов типов шифрования, разрешенных в Active Directory и РЕД ОС. В РЕД ОС этот набор определяет криптографическая политика (cryptographic policy).
По умолчанию в РЕД ОС установлена криптографическая политика DEFAULT:
update-crypto-policies --showDEFAULT
Эта политика определяет следующие типы шифрования, которые разрешено использовать протоколу Kerberos:
cat /usr/share/crypto-policies/DEFAULT/krb5.txt[libdefaults] permitted_enctypes = aes256-cts-hmac-sha1-96 aes256-cts-hmac-sha384-192 camellia256-cts-cmac aes128-cts-hmac-sha1-96 aes128-cts-hmac-sha256-128 camellia128-cts-cmac
В списке отсутствует тип шифрования arcfour (также известный как rc4), который используется при запросе тикетов Kerberos с сервера Active Directory. Этот тип шифрования был удален из политики DEAFAULT, так как считается ненадежным — см. Ensuring support for common encryption types in AD and RHEL.
Решение — изменение криптографической политики
Чтобы добавить в РЕД ОС поддержку типа шифрования arcfour и решить указанную выше проблему, рекомендуется переключить криптографическую политику РЕД ОС по умолчанию на одну из следующих.
LEGACY
Криптографическая политика LEGACY — одна из предопределенных криптографических политик РЕД ОС, которая поддерживает более широкий список типов шифрования, чем DEFAULT, и обеспечивает совместимость со старыми версиями и системами.
Типы шифрования для Kerberos, которые поддерживает политика LEGACY:
cat /usr/share/crypto-policies/LEGACY/krb5.txt[libdefaults] permitted_enctypes = aes256-cts-hmac-sha1-96 aes256-cts-hmac-sha384-192 camellia256-cts-cmac aes128-cts-hmac-sha1-96 aes128-cts-hmac-sha256-128 camellia128-cts-cmac des3-cbc-sha1 arcfour-hmac-md5
Чтобы переключить криптографическую политику системы на LEGACY, выполните следующую команду как пользователь root:
update-crypto-policies --set LEGACYПосле переключения криптографической политики необходимо выполнить перезагрузку системы:
Setting system policy to LEGACY Note: System-wide crypto policies are applied on application start-up. It is recommended to restart the system for the change of policies to fully take place.
Учитывайте также, что набор разрешенных типов шифрования будет изменен и для других сервисов, таких как:
ls /usr/share/crypto-policies/LEGACY/bind.txt gnutls.txt java.txt krb5.txt libreswan.txt nss.txt opensshserver.txt openssh.txt opensslcnf.txt openssl.txt
CUSTOM
Вы можете создать новую криптографическую политику (например, CUSTOM) на основе политики DEFAULT и модифицировать список поддерживаемых типов шифрования.
-
Скопируйте каталог политики
DEFAULTв каталогCUSTOM:cp -r /usr/share/crypto-policies/DEFAULT/ /usr/share/crypto-policies/CUSTOM -
Добавьте тип
arcfour-hmac-md5в конец файла /usr/share/crypto-policies/CUSTOM/krb5.txt. -
Установите новую криптографическую политику:
update-crypto-policies --set CUSTOM -
После переключения политики на
CUSTOMтакже нужно выполнить перезапуск системы:Setting system policy to CUSTOM Note: System-wide crypto policies are applied on application start-up. It is recommended to restart the system for the change of policies to fully take place.