我正在尝试在 RHEL 6.9 VM 上安装 FreeRADIUS 服务器。此 VM 以 FIPS 模式运行。我遇到了 Red Hat 错误报告中描述的问题这里。
根据 2015 年 3 月的错误报告,RADIUS 协议需要 MD5 支持。因此,FreeRADIUS(和 RADIUS)在 FIPS 模式下不受支持。
我希望自该错误报告发布以来的 3 年里,已经有一个修复程序或解决方法可以解决此问题。不幸的是,根据 DISA STIG 要求,我只能在 FIPS 模式下运行。有谁知道让 FreeRADIUS 在以 FIPS 模式运行的机器上工作的方法吗?
答案1
似乎正在使用的 FreeRADIUS 软件包是在启用内部 MD5 功能的情况下构建的,因此它们不依赖于 OpenSSL 的 MD5 实现。这意味着在这种情况下,FreeRADIUS 将在 FIPS 模式下与 OpenSSL 一起工作。
对于 FreeRADIUS 4(下一个主要版本),我已经实现了运行时检查,如果 OpenSSL 处于 FIPS 模式,则交换内部函数,如果不处于 FIPS 模式,则使用 OpenSSL 函数。
在可以使用时我们希望使用 OpenSSL 函数而不是内部函数,原因有二:
- 他们受到了更多的公众审查。他们的观点很可能在某个时候被证明是正确的。
- 它们利用 CPU 或加密加速卡提供的任何硬件加速。
正如您在评论中所说,TLS 使用的某些其他算法可能不可用。通过在 EAP 模块配置和相关的 RADSEC TLS 部分中设置显式密码列表(TLS 配置解析是通用代码),应该可以解决任何禁用的算法。