OpenJDK の TLS 1.0 無効化と OpenAM への影響について
OpenJDK 8u292 及び 11.0.11 より TLS 1.0 & 1.1 がデフォルトで無効化されました。
OpenAM は LDAPS 接続においてデフォルトで TLS 1.0 を利用しています。 LDAP サーバーに LDAPS で接続している環境では OpenJDK パッケージをアップデートすると認証が成功しなくなる等の不具合が発生する可能性があります。 対策として LDAPS に TLS 1.2 を利用するように設定を変更する必要があります。
対象
主に次の環境で影響があります。
- OS が Red Hat Enterprise Linux 7 または CentOS 7 である
- LDAP サーバーとの接続に LDAPS を利用している
対象となる OpenAM のバージョンは以下の通りです。
- OpenAM 14.x
- OpenAM 13.0.0
- OpenAM 11.0.0
対策 (14.x の場合)
OpenAM 14.x では機能毎に TLS の設定を確認する必要があります。
認証モジュールの設定変更
- OpenAM に管理者ユーザーでログインします。
- 「対象のレルム」→「認証」→「モジュール」をクリックします。
- OpenLDAP 認証モジュールなどの「対象モジュール」をクリックします。
- 「LDAPS プロトコルバージョン」を「TLSv1.2」に変更します。
- 「変更の保存」ボタンをクリックします。
ユーザーデータストアの設定変更
- OpenAM に管理者ユーザーでログインします。
- 「対象のレルム」→「データストア」をクリックします。
- OpenLDAP データストアなどの「対象データストア」をクリックします。
- 「LDAPS Server Protocol Version」を「TLSv1.2」に変更します。
- 「保存」ボタンをクリックします。
デフォルトサーバーの設定変更
- OpenAM に管理者ユーザーでログインします。
- 「設定」→「デフォルトサーバー」をクリックします。
- 「詳細設定」をクリックします。
- 以下のプロパティーが存在しない場合は追加します。
【プロパティー名】 | 【プロパティー値】 |
---|---|
org.forgerock.openam.ldap.secure.protocol.version | TLSv1.2 |
- 「変更の保存」ボタンをクリックします。
- OpenAMを再起動します。
対策 (13.0.0 及び 11.0.0 の場合))
OpenAM 13.0.0 及び 11.0.0 の場合 TLS バージョンの設定は1か所です。 ただし、設定を利用できるのは比較的新しいリリースに限られます。
OpenAM のアップデート
LDAPS に TLS 1.2 を利用するためには OpenAM 13 では 13.0.0-176 以降、 OpenAM 11 では 11.0.0-132 以降のリリースが必要です。 古いリリースバージョンをご利用中の場合は OpenAM を最新のリリースに アップデートしてください。
デフォルトサーバーの設定変更
- OpenAM に管理者ユーザーでログインします。
- 「設定」→「サーバーおよびサイト」→「デフォルトのサーバー設定値」 をクリックします。
- 「高度」をクリックします。
- 以下のプロパティーが存在しない場合は「追加」ボタンをクリックして 追加します。
【プロパティー名】 | 【プロパティー値】 |
---|---|
org.forgerock.openam.ldap.secure.protocol.version | TLSv1.2 |
- 「保存」ボタンをクリックします。
- OpenAMを再起動します。
暫定回避策
OpenJDK の java.security を編集し、TLS 1.0 及び TLS 1.1 を有効化します。
java.security の jdk.tls.disabledAlgorithm を編集して「TLSv1」と「TLSv1.1」を削除します。
jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1, RC4, DES, MD5withRSA, \
DH keySize < 1024, EC keySize < 224, 3DES_EDE_CBC, anon, NULL, \
include jdk.disabled.namedCurves
↓
jdk.tls.disabledAlgorithms=SSLv3, RC4, DES, MD5withRSA, \
DH keySize < 1024, EC keySize < 224, 3DES_EDE_CBC, anon, NULL, \
include jdk.disabled.namedCurves
java.security のファイルパスは OpenJDK のバージョンによって異なるためご注意ください。
- OpenJDK 11 (OpenAM 14.x を利用している場合)
- /usr/lib/jvm/jre-11-openjdk/conf/security/java.security
- OpenJDK 8 (OpenAM 13.0.0 / 11.0.0 を利用している場合)
- /usr/lib/jvm/jre-1.8.0-openjdk/lib/security/java.security
アップデートパッケージの入手方法
お客様がご利用中の OpenAM の環境について、下記の動作 OS、ご利用中のOpenAMのバージョンの情報、およびカスタマイズの有無などをご確認の上、弊社サポート窓口まで、サポートID、会社名、ご担当者名を添えてご連絡ください。
※下記に記されていない環境については、サポート窓口までお問い合わせください。
OS について
- Red Hat Enterprise Linux 8 (x86-64)
- Red Hat Enterprise Linux 7 (x86-64)
- Red Hat Enterprise Linux 6 (x86-64)
OpenAM のバージョンについて
rpm パッケージを導入されている場合は下記のコマンドでご確認ください。
# rpm -qa | grep osstech
カスタマイズの有無などについて
下記の条件に当てはまる場合は、標準のアップデート方法が適用できません。弊社へご連絡の際に下記の条件に当てはまる旨をお知らせください。弊社より個別のアップデート方法をお知らせします。
- カスタマイズモジュールを導入している
- 画面のカスタマイズをされている場合
- 認証モジュールのカスタマイズをされている場合
- OpenAM の配備方法が弊社標準とは異なる
- OpenAM 13.0.0 および 14.0.0 の標準配備先:
- /opt/osstech/share/tomcat/webapps/openam
- OpenAM 11.0.0 の標準配備先:
- /opt/osstech/share/tomcat7/webapps/openam
- OpenAM 13.0.0 および 14.0.0 の標準配備先:
リリースノート
アップデート版の修正内容をリリースノートに記載しております。