5.2. Web UI へのアクセスに対応している Web ブラウザー
Identity Management (IdM) は、Web UI への接続に、以下のブラウザーをサポートします。
- Mozilla Firefox 38 以降
- Google Chrome 46 以降
ブラウザーで TLS v1.3 を使用しようとすると、スマートカードで IdM Web UI にアクセスできなくなる場合があります。
[ssl:error] [pid 125757:tid 140436077168384] [client 999.999.999.999:99999] AH: verify client post handshake
[ssl:error] [pid 125757:tid 140436077168384] [client 999.999.999.999:99999] AH10158: cannot perform post-handshake authentication
[ssl:error] [pid 125757:tid 140436077168384] SSL Library Error: error:14268117:SSL routines:SSL_verify_client_post_handshake:extension not received
これは、最新バージョンのブラウザーで TLS Post-Handshake Authentication (PHA) がデフォルトで有効になっていないか、PHA をサポートしていないためです。スマートカード認証で IdM Web UI にアクセスする場合など、Web サイトの一部にのみ TLS クライアント証明書を必要とする場合は、PHA が必要です。
Mozilla Firefox 68 以降でこの問題を解決するには、TLS PHA を有効にします。
-
アドレスバーに
about:config
と入力して、Mozilla Firefox 設定メニューにアクセスします。 -
検索バーに
security.tls.enable_post_handshake_auth
と入力します。 - トグルボタンをクリックして、パラメーターを true に設定します。
現在 PHA をサポートしていない Chrome でこの問題を解決するには、TLS v1.3 を無効にします。
-
/etc/httpd/conf.d/ssl.conf
設定ファイルを開きます。 -TLSv1.3
をSSLProtocol
オプションに追加します。SSLProtocol all -TLSv1 -TLSv1.1 -TLSv1.3
httpd
サービスを再起動します。service httpd restart
IdM は ssl.conf
ファイルを管理するため、パッケージの更新時にそのコンテンツが上書きされる可能性があることに注意してください。IdM パッケージの更新後に、カスタム設定を確認します。