From: Evgeny Sinelnikov <sin@altlinux.org> To: Saratov Linux User Group Maillist <sarlug@lists.lug.ru> Subject: [Sarlug] gost-cts в Kerberos у Astra Date: Mon, 9 Jul 2018 22:36:50 +0400 Message-ID: <CAK42-Gpu97UBQB-E=xPKA70JDYxE+zd77bB3jx4xyE5fAYRZ-w@mail.gmail.com> (raw) Документайции Astra следует, что у них в Kerberos предусмотрен тип шифрования gost-cts. Это интересно. 6.7.2. Конфигурационные файлы Kerberos К конфигурационным файлам Kerberos относятся специальные конфигурационные файлы служб севера Kerberos и конфигурационный файл /etc/krb5.conf, содержащий основные настройки домена. Важной характеристикой является алгоритм защиты аутентификационной инфор- мации (supported_enctypes в /etc/krb5kdc/kdc.conf и default_tgs_enctypes, default_tkt_enctypes, permitted_enctypes в /etc/krb5.conf). Список используемых алгоритмов защиты аутентификационной информации при- веден в табл 44. 127 РУСБ.10015-01 95 01-1 Т а б л и ц а 44 Тип шифрования gost-cts aes256-cts des-cbc-crc rc4-hmac Назначение отечественные алгоритмы по ГОСТ 28147-89 и ГОСТ Р 34.11- 2012, применяется по умолчанию в ALD применяется по умолчанию в Kerberos слабый устаревший, применяется для поддержки NFS, и не ре- комендуется к использованию применяется для поддержки работы клиентов Samba, так как являлся основным в Windows В случае отсутствия необходимости использования NFS или утилит Samba (smbclient) — типы шифрования des-cbc-crc и rc4-hmac могут не указываться. П р и м е ч а н и е. Для работы с NFS так же необходима установка параметра allow_weak_crypto в файле /etc/krb5.conf, что снижает надежность аутентифика- ции. -- Sin (Sinelnikov Evgeny)
reply other threads:[~2018-07-09 18:36 UTC|newest] Thread overview: [no followups] expand[flat|nested] mbox.gz Atom feed
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to='CAK42-Gpu97UBQB-E=xPKA70JDYxE+zd77bB3jx4xyE5fAYRZ-w@mail.gmail.com' \ --to=sin@altlinux.org \ --cc=sarlug@lists.lug.ru \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
Saratov Linux User Group This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sarlug/0 sarlug/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sarlug sarlug/ http://lore.altlinux.org/sarlug \ sarlug@lists.lug.ru sarlug@lug.ru public-inbox-index sarlug Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sarlug AGPL code for this site: git clone https://public-inbox.org/public-inbox.git