zahni 587 Geschrieben vor 1 Stunde Melden Geschrieben vor 1 Stunde Hi, hat zufällig jemand Erfahrung damit? Problem: Unser neue DL nutzt Credential Guard und wir ein paar Java-Anwendungen, die Kerberos-SSO geben einen Tomcat/Websphere machen sollen. Das SSO ist mittels JAAS/krb5loginmodule implementiert. Wie ich leider erst jetzt herausgefunden habe (Google ist nicht immer hilfreich), unterstützt krb5loginmodule die native Windows SSPI-API nicht. Da ist geht nur, wenn man auf die vergleichsweise neue Java-GSS-Implementierung schwenkt. Hier braucht man dann auch kein "AllowTGTSessionKey". Credential Guard verhindert aber die Nutzung von des TGT Session Keys. Nun entwickeln wir nicht alle Anwendungen selber... Kennt sich jemand mit Credential Guard aus? Kann man da irgendwelche Ausnahmen definieren? Wen es interessiert: Die Java-Doku. Dort sind beide Variantenbeschrieben: https://docs.oracle.com/javase/8/docs/technotes/guides/security/jgss/single-signon.html Hier ein relevanter Bug: https://bugs.openjdk.org/browse/JDK-8054026 und die finale Lösung: https://bugs.openjdk.org/browse/JDK-8214079 Die native SSPI-Bridge gibt es im Java also seit 2019. Dank an Euch im Voraus. -Zahni
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden