AES-256の削除

AES-256設定を削除するための手順。

AES-256を使用しない場合は、Kerberosプリンシパルごとに許可されている暗号化のAES-256設定を削除し、krbtgtプリンシパルのキーを再生成する必要があります。

始める前に

これらの方法を使用するには、KDCにKerberos 5-1.2が必要です。

手順

AES-256設定を以下のいずれかの方法で削除します。

  • プリンシパルを作成していない場合は、-eフラグを使用してencryption:salt型のペアを指定します。例を次に示します。-e "arcfour-hmac:normal des3-hmac-sha1:normal"のように指定します。
  • プリンシパルをすでに作成している場合は、上記の説明のとおり、-eフラグを使用してKerberosプリンシパルを変更してから、キータブ・ファイルを再作成します。
    または、DataStax Enterpriseノードがメンバーに含まれているレルムのsupported_enctypes変数からaes256を含んでいるエントリーを削除して、/etc/krb5kdc/kdc.confファイルを変更できます。その後で、krbtgtプリンシパルのキーを変更します。
    注: KDCが他のアプリケーションで使用されている場合は、krbtgtプリンシパルのキーを変更すると、既存のチケットが無効になります。これを防ぐには、change_passwordコマンドを使用するときに、-keepoldオプションを使用します。例を次に示します。
    'cpw -randkey krbtgt/krbtgt/REALM@REALM'

次のタスク

Kerberos用のDSEノードの準備