Certains types d'encryptage d'Active Directory non supportés
À partir de la version Kathmandu HF14, la version Java incluse dans l’installation JMap a connu des changements au niveau de la sécurité et ne supporte plus certains types d’encryptage d’Active Directory.
Deux problèmes peuvent donc survenir:
JMap Server ne redémarre plus après l’installation de la version Kathmandu HF14 ou d’une version ultérieure. Cette erreur sera visible dans les logs:
com.kheops.jmap.server.security.SecurityException: javax.security.auth.login.LoginException: KDC has no support for encryption type (14)
...
Caused by: javax.security.auth.login.LoginException: KDC has no support for encryption type (14)
...
Caused by: sun.security.krb5.KrbException: KDC has no support for encryption type (14)
...
Caused by: sun.security.krb5.Asn1Exception: Identifier doesn't match expected value (906)
...JMap Server redémarre après l’installation de la version Kathmandu HF14 ou d’une version ultérieure, mais le SSO ne fonctionne plus lors de la connexion des utilisateurs à JMap Pro. Cette erreur sera visible dans les logs:
org.ietf.jgss.GSSException: Failure unspecified at GSS-API level (Mechanism level: Encryption type RC4 with HMAC is not supported/enabled)
...
Caused by: sun.security.krb5.KrbException: Encryption type RC4 with HMAC is not supported/enabled
...
Solution (valide pour corriger les deux situations décrites ci-dessus):
Ajouter la prise en charge des types d'encryptions AES128 et AES256 au niveau du compte Active Directory de l'utilisateur utilisé pour connecter le gestionnaire d’utilisateurs dans JMap.
Références externes:
https://stackoverflow.com/questions/23801169/kdc-has-no-support-for-encryption-type-14
https://backstage.forgerock.com/knowledge/kb/article/a22578720