平素よりGMOトラスト・ログインをご利用いただき、誠にありがとうございます。
2026年4月リリースの特定のWindows Updateの適用後に、
デスクトップSSOによる認証が不可となるケースがあるとお客様より事象の報告を受けております。
■ 対象
デスクトップSSOをご利用で、下記条件のActive Directoryサーバーをお使いのお客様
KB5082123を適用したWindows Server 2019
KB5082142を適用したWindows Server 2022
※AD連携のみご利用の場合には影響はございません。
■ 影響
デスクトップSSOによる認証を実行後、「ログインしてください。」というメッセージが表示され、
アカウントの選択画面に戻ってしまう。
■ 原因
上記のWindows Updateによって、Key Distribution Center(KDC)の既定値が
変更されたため、弊社マニュアルに記載のコマンドで作成したKey Tableファイルでは不整合が
生じるようになりました。
参考URL:
CVE-2026-20833 に関連するサービス アカウント チケット発行の変更に対する RC4 の Kerberos KDC 使用量を管理する方法 - Microsoft サポート
■ 対処方法
Key Tableファイルを再作成いただきます。ADサーバーで以下の作業を実施ください。
※本作業中はデスクトップSSOが利用できなくなるため、業務時間外にご対応ください。
----------------
1.デスクトップSSOの設定作業用のAD ユーザーをご用意ください。
※このユーザーはデスクトップSSOの設定をするドメインに属している必要があります。
※このユーザーは本機能で認証する度に利用しますので削除しないでください。
※このユーザーはDomain Admins グループに所属している必要があります。
権限が不足している場合、SPN登録やkeytab生成に失敗します。
2.setspnコマンドでサービスプリンシパルネームを解除します。
> setspn -D HTTP/portal.trustlogin.com [ADドメイン名]\[手順1で用意したADユーザー名]
3.setspnコマンドでサービスプリンシパルネームを再登録します。
> setspn -S HTTP/portal.trustlogin.com [手順1で用意したADユーザー名]
4.keytabコマンドでKey Tableファイルを再生成します。
> ktpass /out c:\[任意のKeyTab名].keytab /princ HTTP/portal.trustlogin.com@[ADドメイン名(大文字)] /mapuser [手順1で用意したADユーザー名]@[ADドメイン名(大文字)] /pass [手順1で用意したADユーザーパスワード] /ptype KRB5_NT_PRINCIPAL /crypto AES256-SHA1 /kvno 0
5.Key Tableファイルをトラスト・ログインに再アップロードします。
管理ページ>設定メニュー>デスクトップSSO で既存の設定を編集し、手順4で生成したファイルをアップロードしてください。
----------------
ご不明点がございましたら、サポート窓口までお問い合わせください。
今後ともGMOトラスト・ログインをよろしくお願いいたします。
お問い合わせ
ご質問や不明な点などございましたら、下記よりお問い合わせください。
- お問い合わせフォーム : https://trustlogin.com/contact/
- Tel:03-4545-2303 受付10:00~18:00(土日祝日除く)