なぜか、GSSExceptionがアクティブメディアを用いたディレクトリSSO株式会社エンパシは、Microsoft社からwindows IE Javaサーバー?

Question

また建物のアクティブディレクトリをシングルサインオン認証システムのための、Javaのウェブアプリケーションを使用SPNEGO/Kerberos)、動作のいずれかFirefoxまたは(よう)サファリが、Internet Explorerの原因となる例外:

GSSException: Channel binding mismatch (Mechanism level: ChannelBinding not provided!)

実は、私の家で働前のWindowsのパッチが設置されました。

Answer 1

どうやら、MicrosoftはIEのパッチKB974455有効""延長保護"のための統合Windows認証を行います。通常、SPNEGO/Kerberos認証をクライアントマシンを取得しKerberos/アクティブディレクトリのチケットのサーバーをプレゼントチケットのHTTP認証の交渉いたします。の少なくともJava1.6のJava-JGSS-APIライブラリができる通訳のSPNEGO/Kerberos交渉および認証のチケットとなります。

の 延長保護 (参照 延長保護のための認証には、追加チャネルに結合すSPNEGO交渉;どのようなデータのチャネル結合では、現在、未知なく、その他のSSLセッション識別子のようだがこれに取り組んでくれました。Java-JGSS-APIライブラリの試みを検証するためのチャネル結合cannoのデータを結合。その後、スローにチャンネル結合のミスマッチます。

この問題に結 一部の インターネット 交通, 含む 日のバグID6851973.

によるコメントに関連6851973, RFC4121, によると、

場合に呼び出し側GSS_Accept_sec_context[RFC2743]パス GSS_C_NO_CHANNEL_BINDINGS[RFC2744持つという事に注意してくださいチャネルバインディング、そ アクセプターを無視できます他のチャネルバインディングは、開始剤 復帰の成功の場合においても起動側かったを通過チャネルのランタイム環境を含んでいます。

および"すべての主要krb5実装を行う担当者に役立ちをしていること"を、".国債が必要にアクセプターのチャネル結合の場合の開始剤を紹介します。また、固定が可能Java7を構築し、64にあります。移植Javaの5と6は、Java6u18 ない れまで報告された6851973.

ワーク周りなど 延長保護のための認証 を設定する

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\SuppressExtendedProtection

レジストリ設定を0x02.この拡張を無効にし保護します。