FreeIPA 4.8 弃用了很多旧密码(https://freeipa.org/page/Releases/4.8.0)。然而,它们仍然存在。示例:
# klist -ke /etc/krb5.keytab
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
1 host/[email protected] (aes256-cts-hmac-sha1-96)
1 host/[email protected] (aes128-cts-hmac-sha1-96)
1 host/[email protected] (DEPRECATED:des3-cbc-sha1)
1 host/[email protected] (DEPRECATED:arcfour-hmac)
1 host/[email protected] (camellia128-cts-cmac)
1 host/[email protected] (camellia256-cts-cmac)
1 nfs/[email protected] (aes256-cts-hmac-sha1-96)
1 nfs/[email protected] (aes128-cts-hmac-sha1-96)
1 nfs/[email protected] (DEPRECATED:des3-cbc-sha1)
1 nfs/[email protected] (DEPRECATED:arcfour-hmac)
即使我一周前设置的主机(使用版本 4.9.11)仍然收到已弃用的密码。如果双方都同意使用弱密码,AFAICS 将使用它们。
https://bugzilla.redhat.com/show_bug.cgi?id=1499119RHEL8 承诺,将通过一些系统范围的策略来处理这个问题,从而使其他发行版或操作系统的用户陷入困境。以及 FreeIPA 的 RFE#7256(“用户友好的方式来禁用弱或已弃用的密码”,https://pagure.io/freeipa/issue/7256)开放了5年,没有明显进展。
有没有办法告诉 FreeIPA 不要再创建支持弱密码的新秘密?
最终消除我所有 536 主机上的弱密码的推荐程序是什么?自动的东西会很好。