統合Windows認証(SPNEGO認証)を実施後に400エラー画面が表示される
現象
統合Windows認証(SPNEGO認証)が行われたあとに400エラーが発生する。
原因
Kerberosチケットのクライアント名が、IIJ IDユーザの「External user name」属性の値と一致していない場合が考えられます。
対応
IIJ IDコンソールで、IIJ IDユーザの「External user name」属性の値を確認してください。
この値は、Kerberosチケットのクライアント名と完全一致させる必要があります。詳しくは「IIJ IDサービス オンラインマニュアル[管理者用]」の「ユーザの編集」をご覧ください。
【参考】
Active Directoryから発行されるKerberosチケットのクライアント名は「(samAccountName) + "@" + (ADドメイン)」となります。
【注意】
macOSではKerberosチケットのクライアント名が小文字に変換されます。また、IIJ IDユーザのExternal user nameのドメイン部(「@」以降の文字列)は小文字である必要があります。そのため、IIJ IDユーザの「External user name」属性を小文字に揃えるなどの対応が必要となります。
割り当てるAD属性値の一部を大文字から小文字に変換する方法については、「externalUserNameに指定するADサーバ内でのユーザ属性値が大文字の場合の対処方法を知りたい(統合Windows認証)」をご覧ください。