統合認証オプションをJDK11、JDK8でご利用のお客様へ
-
2022/10/21
平素はProselfをご利用いただきまして、誠にありがとうございます。
先日リリースされたJDK 11.0.17、JDK 8u351/8u352をProselfサーバーに新規インストール/更新をした場合、統合認証オプションによるシングルサインオンが失敗する事象を確認しております。
本件につきまして、JDK 11.0.17、JDK 8u351/8u352で行われたセキュリティ強化によってKerberos認証の暗号化に使用するアルゴリズムの内、暗号強度の低いアルゴリズムが使用不可となったことが影響しております。
一方でAcitive Directory側では暗号強度の高いアルゴリズムがデフォルトで無効であることから、本事象に該当するお客様につきましては大変恐れ入りますが、以下手順で暗号強度の高いアルゴリズムを有効にすることでシングルサインオンが可能となることをご確認くださいますようお願い申し上げます。
-
サービスプリンシパルを登録時に実行したktpassコマンドの-mapuserオプションに指定したユーザーを確認します。
※シングルサインオンを行うユーザーではないことにご留意ください。
-
Active Directory上で手順1で確認したのユーザーのプロパティを表示します。
-
アカウントタブ内 - アカウントオプションにおいて、「このアカウントで Kerberos AES 128 ビット暗号化をサポートする」「このアカウントで Kerberos AES 256 ビット暗号化をサポートする」をONで設定します。
-
シングルサインオンを行うユーザーが利用されるクライアントPCで、再度サインインし直した上でWebブラウザからのシングルサインオンが可能となることを確認します。
-
サービスプリンシパルを登録時に実行したktpassコマンドの-mapuserオプションに指定したユーザーを確認します。