Я пытаюсь установить сервер FreeRADIUS на виртуальную машину RHEL 6.9. Эта виртуальная машина работает в режиме FIPS. Я столкнулся с проблемой, описанной в найденном отчете об ошибке Red Hat Вот.
Согласно тому отчету об ошибке от марта 2015 года протокол RADIUS требует поддержки MD5. Поэтому FreeRADIUS (и RADIUS) не может поддерживаться в режиме FIPS.
Я надеюсь, что за 3 года, прошедшие с момента этого сообщения об ошибке, было исправление или обходной путь, который я мог бы реализовать, чтобы обойти эту проблему. К сожалению, я ограничен работой в режиме FIPS в соответствии с требованиями DISA STIG. Кто-нибудь знает, как заставить FreeRADIUS работать на машине, работающей в режиме FIPS?
Похоже, что используемые пакеты FreeRADIUS собираются с включенными внутренними функциями MD5, и поэтому они не зависят от реализации MD5 OpenSSL. Это означает, что в данном случае FreeRADIUS будет работать с OpenSSL в режиме FIPS.
Для FreeRADIUS 4 (следующая основная версия) я реализовал проверку времени выполнения для обмена внутренними функциями, если OpenSSL находится в режиме FIPS, и для использования функций OpenSSL, если он не в режиме FIPS.
Есть две причины, по которым мы хотим использовать функции OpenSSL вместо внутренних, когда это возможно:
Как вы писали в комментариях, некоторые другие алгоритмы, используемые TLS, могут быть недоступны. Должна быть возможность обойти любые отключенные алгоритмы, установив явный список шифров в конфигурации модуля EAP и в соответствующем разделе RADSEC TLS (синтаксический анализ конфигурации TLS является общим кодом).