[2018/07/24] Oracle JDK 8 update181 の適用について

Owned by EXGEN-OP
Last updated: 7月 26, 2018
1 min read
掲載日

最終更新日 


2018年 7月17日に Oracle社からリリースされた JDK 8 update181 を適用すると、環境によりLDAPS( LDAP over SSL )によるLDAPサーバ接続ができなくなる問題が生じます。本件に対する注意事項を以下にご報告いたします。


発生する現象と原因

Oracle JDK 8 u181 から、LDAPサーバにSSL接続する際に必ずサーバ証明書をチェックするように仕様が変更されました。

Java 8リリースのハイライト

Oracle JDK 8 u181 にアップデートした環境では、Java の KeyStore に、対象となる LDAPサーバの SSLサーバ証明書を WebサーバもしくはクライアントPCにインポートしておく必要があり、この対応をおこなっていない場合には、LDAPSでの接続が不可能になります。




現象が発生するバージョン

以下のモジュールとバージョンにおいて LDAPS(LDAP over SSL)で接続する設定をおこなっていた場合に、LDAPサーバの SSLサーバ証明書を KeyStore に登録していない環境では、LDAPサーバへの接続が拒否されます。


管理者メンテナンス(Servlet)

管理者メンテナンス(Applet)

管理者メンテナンス設定

利用者プロファイルメンテナンス

利用者プロファイルメンテナンス設定

管理者ポータル

操作ログオプション(Web)

IDワークフロー

ADアグリゲータ

全バージョン

LDAPManager6.0~6.7

全バージョン

全バージョン

全バージョン

全バージョン

全バージョン

全バージョン

LDAPManager6.7~6.8




現象の回避方法

モジュールがデプロイされているWebサーバ(Applet版の管理者メンテナンスは利用するクライアントPC側)の KeyStore にLDAPサーバ証明書をインポートする必要があります。以下のモジュールの場合、デプロイされているWebサーバ側の KeyStore にLDAPサーバ証明書をインポートする必要があります。

  • 管理者メンテナンス(Servlet)
  • 管理者メンテナンス設定
  • 利用者プロファイルメンテナンス
  • 利用者プロファイルメンテナンス設定
  • 管理者ポータル
  • 操作ログオプション(Web)
  • IDワークフロー
  • ADアグリゲータ


以下のモジュールの場合、利用するPC側の KeyStore にLDAPサーバ証明書をインポートする必要があります。

  • 管理者メンテナンス(Applet)


KeyStoreへの登録については、以下のリンクを参考にしてください。
keytool - 鍵と証明書の管理ツール


なお、LDAP Manager 側で登録している LDAPサーバのホスト名と、SSLサーバ証明書に記載されているホスト(サーバ)名が異なっている場合は、正常に接続することができません。LDAP Manager の各Webアプリケーション側の LDAPサーバホスト名を IPアドレスで登録している場合などは、適宜変更してください。




注意事項

これまで、以下のモジュールについては LDAPサーバのSSLサーバ証明書をチェックしない設定がありましたが、Oracle JDK 8 u181 にアップデートした場合にはその制御が有効になりませんので、現象の回避方法でご連絡した対応をおこなっていただく必要があります。

  • 利用者プロファイルメンテナンス
  • 操作ログオプション(Web)
  • IDワークフロー