Kerberos-SSO unter Java 17


Allgemeines

Mit Java 17 wird schwache Kerberos-Authentifizierung nicht mehr offiziell unterstützt.

Das heißt die bislang eingesetzten RC4-HMAC und 3DES-HMAC müssen entweder durch AES-Schlüssel ersetzt werden oder, was wir nicht empfehlen, das alte überholte Kryptomodell in der krb5.config muss wieder erlaubt werden.

AES-Schlüssel (sicher)

Bei der Umstellung auf AES-Schlüssel sind Änderungen im ActiveDirectory notwendig.

Die sichere, aber aufwändige Methode:

  1. Aktivieren der AES-Verschlüsselung auf dem PreAuth und den SSO Usern
  2. Ändern der krb5.config Datei: Löschen der unsicheren Ciphern RC4-HMAC und 3DES-HMAC.


Anpassen der krb5.config (unsicher)

Öffnen Sie die Datei krb5.config und fügen sie den Parameter allow_weak_crypto=true in die zweite Zeile der Datei ein.