FreeIPA 4.8は多くの古いパスワードを使用しなくなりました(https://freeipa.org/page/Releases/4.8.0)。しかし、彼らはまだ存在します。例:
# klist -ke /etc/krb5.keytab
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
1 host/[email protected] (aes256-cts-hmac-sha1-96)
1 host/[email protected] (aes128-cts-hmac-sha1-96)
1 host/[email protected] (DEPRECATED:des3-cbc-sha1)
1 host/[email protected] (DEPRECATED:arcfour-hmac)
1 host/[email protected] (camellia128-cts-cmac)
1 host/[email protected] (camellia256-cts-cmac)
1 nfs/[email protected] (aes256-cts-hmac-sha1-96)
1 nfs/[email protected] (aes128-cts-hmac-sha1-96)
1 nfs/[email protected] (DEPRECATED:des3-cbc-sha1)
1 nfs/[email protected] (DEPRECATED:arcfour-hmac)
1週間前に設定したホスト(バージョン4.9.11を使用)でもまだ使用されていないパスワードを受信しています。両側が脆弱なパスワードを使用することに同意すると、AFAICSはそのパスワードを使用します。
https://bugzilla.redhat.com/show_bug.cgi?id=1499119RHEL8は一部のシステム全体のポリシーでこの問題を処理することを約束し、他のディストリビューションやオペレーティングシステムのユーザーは困難に直面しています。 FreeIPAのRFE#7256(「弱いパスワードまたは廃止されたパスワードを無効にするユーザーフレンドリーな方法」、https://pagure.io/freeipa/issue/7256)オープンしてから5年が過ぎたが、特別な進展はなかった。
脆弱なパスワードをサポートする新しい秘密を生成しないようにFreeIPAに指示する方法はありますか?
すべての536ホストから脆弱なパスワードを最終的に削除するための推奨手順は何ですか?何か自動がいいと思います。