Windows の 2020 年 LDAP 署名と LDAP チャネル バインディングの要件の影響について

 
マイクロソフトは、LDAP チャネル バインディングと LDAP 署名 の強化の変更を有効にするセキュリティ更新プログラムを Windows Update でリリースする予定です。
現在、この更新プログラムは 2020 年 3 月中旬に提供される予定です。

変更される予定の設定は以下の通りです。

・LDAP 署名
・LDAP チャネル バインディング

https://support.microsoft.com/ja-jp/help/4520412/2020-ldap-channel-binding-and-ldap-signing-requirement-for-windows

2020年3月に延期となった記事
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/adv190023

【影響を受ける環境】

以下の機能を利用している場合、LDAPサーバに接続できなくなる場合があります。

・intra-mart Accel Platform でアカウントの認証にLDAP認証を利用している、かつ、LDAPS接続ではない。
・intra-mart Accel Platform でModule.ldapを利用している、かつ、LDAPS接続ではない。


【対処方法】

■ LDAP署名

  LDAP認証機能でLDAP 署名に対する対処方法は以下のいずれかになります。
 
  1.LDAPS接続の実現が難しい場合は、ADのLDAPサーバーの署名を要求しないように構成する。
    Active Directoryで「グループポリシー」の「ドメイン コントローラー: LDAP サーバー署名必須」を「なし」に設定します。
    参考 : WINDOWS Server 2008 で LDAP 署名を有効にする方法( https://support.microsoft.com/ja-jp/help/935834/how-to-enable-ldap-signing-in-windows-server-2008 )

  2.LDAP認証にSSL接続(LDAPS)を利用する。
    詳細は「intra-mart Accel Platform セットアップガイド 」-「5.3.3.2.4. LDAP認証でSSL接続(LDAPS)を利用するための環境設定」 を参照してください。


  Module.ldapを利用している場合で、LDAP 署名に対する対処方法は以下のいずれかになります。

  1.LDAPS接続の実現が難しい場合は、ADのLDAPサーバーの署名を要求しないように構成する。
    Active Directoryで「グループポリシー」の「ドメイン コントローラー: LDAP サーバー署名必須」を「なし」に設定します。
    参考 : WINDOWS Server 2008 で LDAP 署名を有効にする方法( https://support.microsoft.com/ja-jp/help/935834/how-to-enable-ldap-signing-in-windows-server-2008 )

  2.LDAP認証にSSL接続(LDAPS)を利用するように接続環境変数を変更します。


■ LDAP チャネル バインディング(LDAPS接続の場合のみに関係ある設定)

  LDAPS接続でない場合は、この設定は利用されません。

  LDAP認証機能でLDAP チャネル バインディングに対する対処方法は以下の通りです。

  ・ LDAPS接続の設定を行っても接続できない場合は、ADのLDAP チャネル バインディングを利用しない(0)、または、クライアントに応じて利用する(1) に構成する。
    以下のサイトを参考にして、対象レジストリの値を0 または 1 に変更してください。
    https://support.microsoft.com/ja-jp/help/4034879

  Module.ldapを利用している場合で、LDAP チャネル バインディングに対する対処方法は以下の通りです。

  ・ 環境変数をLDAPS接続に変更後も接続できない場合は、ADのLDAP チャネル バインディングを利用しない(0)、または、クライアントに応じて利用する(1) に構成する。
    以下のサイトを参考にして、対象レジストリの値を0 または 1 に変更してください。
    https://support.microsoft.com/ja-jp/help/4034879

現状、LDAPS接続、かつ、LDAP チャネル バインディングが有効である場合での環境別調査状況は以下の通りです。

・intra-mart Accel Platform がWindows OSで動作している場合については、intra-mart Accel Platform 側で特に設定しない状態でも接続できることを確認しています。
・intra-mart Accel Platform がRed Hat Enterprise Linuxで動作している場合については、intra-mart Accel Platform 側で特に設定しない状態でも接続できることを確認しています。

 -- 対象 ------------------------------------------------------------------------ 
 iAP/Accel Platform/全アップデート  
 --------------------------------------------------------------------------------  
 

FAQID:1017
この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています
Powered by Zendesk