如何摆脱 FreeIPA 中已弃用的密码?

tag-icon tag-icon security freeipa
如何摆脱 FreeIPA 中已弃用的密码?

FreeIPA 4.8 弃用了很多旧密码(https://freeipa.org/page/Releases/4.8.0)。然而,它们仍然存在。示例:

# klist -ke /etc/krb5.keytab 
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   1 host/[email protected] (aes256-cts-hmac-sha1-96) 
   1 host/[email protected] (aes128-cts-hmac-sha1-96) 
   1 host/[email protected] (DEPRECATED:des3-cbc-sha1) 
   1 host/[email protected] (DEPRECATED:arcfour-hmac) 
   1 host/[email protected] (camellia128-cts-cmac) 
   1 host/[email protected] (camellia256-cts-cmac) 
   1 nfs/[email protected] (aes256-cts-hmac-sha1-96) 
   1 nfs/[email protected] (aes128-cts-hmac-sha1-96) 
   1 nfs/[email protected] (DEPRECATED:des3-cbc-sha1) 
   1 nfs/[email protected] (DEPRECATED:arcfour-hmac)

即使我一周前设置的主机(使用版本 4.9.11)仍然收到已弃用的密码。如果双方都同意使用弱密码,AFAICS 将使用它们。

https://bugzilla.redhat.com/show_bug.cgi?id=1499119RHEL8 承诺,将通过一些系统范围的策略来处理这个问题,从而使其他发行版或操作系统的用户陷入困境。以及 FreeIPA 的 RFE#7256(“用户友好的方式来禁用弱或已弃用的密码”,https://pagure.io/freeipa/issue/7256)开放了5年,没有明显进展。

有没有办法告诉 FreeIPA 不要再创建支持弱密码的新秘密?

最终消除我所有 536 主机上的弱密码的推荐程序是什么?自动的东西会很好。

相关内容