Windows の 2020 年 LDAP 署名と LDAP チャネルバインディングの要件の影響について – intra-mart support

マイクロソフトは、LDAP チャネルバインディングと LDAP 署名の強化の変更を有効にするセキュリティ更新プログラムを Windows Update でリリースする予定です。
現在、この更新プログラムは 2020 年 3 月中旬に提供される予定です。

変更される予定の設定は以下の通りです。

・LDAP 署名
・LDAP チャネルバインディング

https://support.microsoft.com/ja-jp/help/4520412/2020-ldap-channel-binding-and-ldap-signing-requirement-for-windows

2020年3月に延期となった記事
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/adv190023

【影響を受ける環境】

以下の機能を利用している場合、LDAPサーバに接続できなくなる場合があります。

・intra-mart Accel Platform でアカウントの認証にLDAP認証を利用している、かつ、LDAPS接続ではない。
・intra-mart Accel Platform でModule.ldapを利用している、かつ、LDAPS接続ではない。

【対処方法】

■ LDAP署名

  LDAP認証機能でLDAP 署名に対する対処方法は以下のいずれかになります。

  1.LDAPS接続の実現が難しい場合は、ADのLDAPサーバーの署名を要求しないように構成する。
    Active Directoryで「グループポリシー」の「ドメインコントローラー: LDAP サーバー署名必須」を「なし」に設定します。
    参考： WINDOWS Server 2008 で LDAP 署名を有効にする方法
                 https://support.microsoft.com/ja-jp/help/935834/how-to-enable-ldap-signing-in-windows-server-2008

  2.LDAP認証にSSL接続(LDAPS)を利用する。
    詳細は「intra-mart Accel Platform セットアップガイド」-「5.3.3.2.4. LDAP認証でSSL接続(LDAPS)を利用するための環境設定」を参照してください。

  Module.ldapを利用している場合で、LDAP 署名に対する対処方法は以下のいずれかになります。

  1.LDAPS接続の実現が難しい場合は、ADのLDAPサーバーの署名を要求しないように構成する。
    Active Directoryで「グループポリシー」の「ドメインコントローラー: LDAP サーバー署名必須」を「なし」に設定します。
    参考： WINDOWS Server 2008 で LDAP 署名を有効にする方法
                 https://support.microsoft.com/ja-jp/help/935834/how-to-enable-ldap-signing-in-windows-server-2008

  2.LDAP認証にSSL接続(LDAPS)を利用するように接続環境変数を変更します。

■ LDAP チャネルバインディング（LDAPS接続の場合のみに関係ある設定）

  LDAPS接続でない場合は、この設定は利用されません。

  LDAP認証機能でLDAP チャネルバインディングに対する対処方法は以下の通りです。

  ・ LDAPS接続の設定を行っても接続できない場合は、ADのLDAP チャネルバインディングを利用しない(0)、または、クライアントに応じて利用する(1) に構成する。
    以下のサイトを参考にして、対象レジストリの値を0 または 1 に変更してください。
    https://support.microsoft.com/ja-jp/help/4034879

  Module.ldapを利用している場合で、LDAP チャネルバインディングに対する対処方法は以下の通りです。

  ・環境変数をLDAPS接続に変更後も接続できない場合は、ADのLDAP チャネルバインディングを利用しない(0)、または、クライアントに応じて利用する(1) に構成する。
    以下のサイトを参考にして、対象レジストリの値を0 または 1 に変更してください。
    https://support.microsoft.com/ja-jp/help/4034879

現状、LDAPS接続、かつ、LDAP チャネルバインディングが有効である場合での環境別調査状況は以下の通りです。

・intra-mart Accel Platform がWindows OSで動作している場合については、intra-mart Accel Platform 側で特に設定しない状態でも接続できることを確認しています。
・intra-mart Accel Platform がRed Hat Enterprise Linuxで動作している場合については、intra-mart Accel Platform 側で特に設定しない状態でも接続できることを確認しています。

-- 対象 ------------------------------------------------------------------------
iAP/Accel Platform/全アップデート
--------------------------------------------------------------------------------

FAQID:1017