Kerberos-SSO unter Java 17
Allgemeines
Mit Java 17 wird schwache Kerberos-Authentifizierung nicht mehr offiziell unterstützt.
Das heißt die bislang eingesetzten RC4-HMAC und 3DES-HMAC müssen entweder durch AES-Schlüssel ersetzt werden oder, was wir nicht empfehlen, das alte überholte Kryptomodell in der krb5.config muss wieder erlaubt werden.
AES-Schlüssel (sicher)
Bei der Umstellung auf AES-Schlüssel sind Änderungen im ActiveDirectory notwendig.
Die sichere, aber aufwändige Methode:
- Aktivieren der AES-Verschlüsselung auf dem PreAuth und den SSO Usern
- Ändern der krb5.config Datei: Löschen der unsicheren Ciphern RC4-HMAC und 3DES-HMAC.
Anpassen der krb5.config (unsicher)
Öffnen Sie die Datei krb5.config und fügen sie den Parameter allow_weak_crypto=true in die zweite Zeile der Datei ein.