我正在尝试在 RHEL 6.9 VM 上安装 FreeRADIUS 服务器。此 VM 在 FIPS 模式下运行。我遇到了此处发现的 Red Hat 错误报告中描述的问题。
根据 2015 年 3 月的错误报告,RADIUS 协议需要 MD5 支持。因此 FIPS 模式不支持 FreeRADIUS(和 RADIUS)。
我希望在自该错误报告以来发生的 3 年中,我可以实施修复或解决方法来解决此问题。不幸的是,根据 DISA STIG 要求,我只能在 FIPS 模式下运行。有人知道让 FreeRADIUS 在以 FIPS 模式运行的机器上工作的方法吗?
似乎正在使用的 FreeRADIUS 包是在启用内部 MD5 功能的情况下构建的,因此,它们不依赖于 OpenSSL 的 MD5 实现。这意味着在这种情况下,FreeRADIUS 将在 FIPS 模式下与 OpenSSL 一起使用。
对于 FreeRADIUS 4(下一个主要版本),如果 OpenSSL 处于 FIPS 模式,我实现了运行时检查以交换内部函数,如果 OpenSSL 不处于 FIPS 模式,则使用 OpenSSL 函数。
当我们可以使用 OpenSSL 函数而不是内部函数时,有两个原因:
正如您在评论中发布的那样,TLS 使用的某些其他算法可能不可用。通过在 EAP 模块配置和相关 RADSEC TLS 部分(TLS 配置解析是通用代码)中设置显式密码列表,应该可以解决任何禁用的算法。