Vendredi 14 février 2025, sur tous mes serveurs SLES, mise à jour du paquet krb5 en version 11.8.1.
Résultat, les vhosts Apache utilisant Kerberos pour l'authentification SSO ne fonctionnent plus.
Plus moyen de s'authentifier.
Erreur dans les logs Apache:
[Wed Feb 14 09:38:39.617004 2025] [auth_kerb:error] [pid 11572] [client x.x.x.x:40532] gss_accept_sec_context() failed: Unspecified GSS failure. Minor code may provide more information (, Encryption type not permitted)Pour corriger le problème, il est nécessaire de mettre à jour la politique de cryptographie par défaut.
Avant:
# update-crypto-policies --show
DEFAULTIl faut la remplacer par AD-SUPPORT-LEGACY
# update-crypto-policies --set DEFAULT:AD-SUPPORT-LEGACY
Setting system policy to DEFAULT:AD-SUPPORT-LEGACY
Note: System-wide crypto policies are applied on application start-up.
It is recommended to restart the system for the change of policies
to fully take place.
# update-crypto-policies --show
DEFAULT:AD-SUPPORT-LEGACYEt on redémarre Apache
# systemctl restart apache2.service