Saratov Linux User Group
 help / color / mirror / Atom feed
From: Evgeny Sinelnikov <sin@altlinux.org>
To: Saratov Linux User Group Maillist <sarlug@lists.lug.ru>
Subject: [Sarlug] gost-cts в Kerberos у Astra
Date: Mon, 9 Jul 2018 22:36:50 +0400
Message-ID: <CAK42-Gpu97UBQB-E=xPKA70JDYxE+zd77bB3jx4xyE5fAYRZ-w@mail.gmail.com> (raw)

Документайции Astra следует, что у них в Kerberos предусмотрен тип
шифрования gost-cts.
Это интересно.


6.7.2. Конфигурационные файлы Kerberos
К конфигурационным файлам Kerberos относятся специальные конфигурационные
файлы служб севера Kerberos и конфигурационный файл /etc/krb5.conf, содержащий
основные настройки домена.
Важной характеристикой является алгоритм защиты аутентификационной инфор-
мации (supported_enctypes в /etc/krb5kdc/kdc.conf и default_tgs_enctypes,
default_tkt_enctypes, permitted_enctypes в /etc/krb5.conf).
Список используемых алгоритмов защиты аутентификационной информации при-
веден в табл 44.
127
РУСБ.10015-01 95 01-1
Т а б л и ц а 44
Тип шифрования
gost-cts
aes256-cts
des-cbc-crc
rc4-hmac
Назначение
отечественные алгоритмы по ГОСТ 28147-89 и ГОСТ Р 34.11-
2012, применяется по умолчанию в ALD
применяется по умолчанию в Kerberos
слабый устаревший, применяется для поддержки NFS, и не ре-
комендуется к использованию
применяется для поддержки работы клиентов Samba, так как
являлся основным в Windows
В случае отсутствия необходимости использования NFS или утилит Samba
(smbclient) — типы шифрования des-cbc-crc и rc4-hmac могут не указываться.
П р и м е ч а н и е. Для работы с NFS так же необходима установка параметра
allow_weak_crypto в файле /etc/krb5.conf, что снижает надежность аутентифика-
ции.


-- 
Sin (Sinelnikov Evgeny)

                 reply	other threads:[~2018-07-09 18:36 UTC|newest]

Thread overview: [no followups] expand[flat|nested]  mbox.gz  Atom feed

Reply instructions:

You may reply publicly to this message via plain-text email
using any one of the following methods:

* Save the following mbox file, import it into your mail client,
  and reply-to-all from there: mbox

  Avoid top-posting and favor interleaved quoting:
  https://en.wikipedia.org/wiki/Posting_style#Interleaved_style

* Reply using the --to, --cc, and --in-reply-to
  switches of git-send-email(1):

  git send-email \
    --in-reply-to='CAK42-Gpu97UBQB-E=xPKA70JDYxE+zd77bB3jx4xyE5fAYRZ-w@mail.gmail.com' \
    --to=sin@altlinux.org \
    --cc=sarlug@lists.lug.ru \
    /path/to/YOUR_REPLY

  https://kernel.org/pub/software/scm/git/docs/git-send-email.html

* If your mail client supports setting the In-Reply-To header
  via mailto: links, try the mailto: link

Saratov Linux User Group

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sarlug/0 sarlug/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sarlug sarlug/ http://lore.altlinux.org/sarlug \
		sarlug@lists.lug.ru sarlug@lug.ru
	public-inbox-index sarlug

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sarlug


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git