URLをクリップボードにコピーしました
FAQ_URL:https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=4422
| |
最終更新日 2020/12/14 |
FAQ_ID:4422 |
Business >
i-FILTER Ver.9/Ver.10/Reporter >
プロキシ認証
|
「i-FILTER」Windowsにおける『LDAPチャネルバインディング』『LDAP署名』有効化による影響はありますか
|
|
対応バージョン: i-FILTER Ver.9 Ver.10
※i-FILTER for D-SPA(D-SPA Ver.3 Ver.4)を含みます。
対応OS: すべてのOS
【概要】
2020年後半にマイクロソフト社が公開予定のWindowsセキュリティ更新プログラムにて、
LDAPサーバー機能において「LDAPチャネルバインディング」「LDAP署名」の両機能を
有効にするという方針が示されていました。
しかしながら、その後マイクロソフト社の方針が以下のように変わりました。
|
■ADV190023 | LDAPチャネルバインディングと LDAP 署名を有効にするためのマイクロソフト ガイダンス
(外部サイトに遷移します)
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/adv190023
重要: 2020年3月11日と近い将来の更新プログラムを適用しても、新規または既存のドメインコントローラー上の
LDAP署名またはLDAPチャネルバインディングのポリシー、またはそれらに相当するレジストリは変更されません。
|
そのため、「i-FILTER」への影響はありません。
なお、「i-FILTER」は上記のうち「LDAP署名」に対応していないため、
もしお客様自身で機能を有効化される場合や、
今後マイクロソフト社の方針が再度変更されて機能が有効化された場合は
下記【具体的な事象】に記載した問題が発生します。
【影響を受ける環境】
下記条件すべてに該当する場合、影響を受けます。
1.「NTLM認証」「LDAP認証」「Kerberos認証」「LDAP認証で管理者の認証を行う」のいずれか、
もしくは組み合わせを利用している
※Windows版でNTLM認証のみご利用の場合は影響を受けません。
2.認証サーバーとして下記のいずれかを利用している
Windows Server 2016
Windows Server 2019
3.「LDAP over TLS」機能が無効となっている
※影響を受けるか環境か確認するためのFAQを用意しましたのでご活用ください。
▼参考FAQ
「i-FILTER」「LDAPチャネルバインディング」「LDAP署名」有効化の影響を
受けるか確認する方法を教えてください
https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=4506
【具体的な事象】
■「NTLM認証」「LDAP認証」を利用している場合
認証サーバー側でWindows Update完了後、認証が失敗してインターネット
閲覧することができなくなります。
■「LDAP認証で管理者の認証を行う」を利用している場合
「LDAPサーバー参照」して登録した管理者(adminユーザー)でログインが
できなくなります。
※「i-FILTER」がインストールされているサーバーをWindows Updateするのみでは
上記事象は発生しません。
【対処方法】
「LDAP over TLS」機能を有効化することにより影響を回避することが可能です。
※認証サーバー側でLDAP over TLSを利用できるよう構成することが必要です。
▼Ver.10
1. [ システム / ユーザー認証 / 基本設定 ]から「LDAP認証設定」もしくは
「NTLM認証設定」にある「LDAP over TLS」を「有効にする」にチェックを入れ保存します。
2. LDAPサーバーのポート番号(デフォルト:389)をLDAPSサーバー側でサービスしている
ポート(デフォルト:636)に変更して保存します。
設定箇所:
LDAP認証 [ システム / ユーザー認証 / LDAPサーバー設定 ]
NTLM認証 [ システム / ユーザー認証 / NTLM Active Directory設定 ]
3. 「i-FILTER」を再起動します。
▼Ver.9
1. [ システム設定 / ユーザー認証 / 基本設定 ]から「LDAP認証設定」もしくは
「NTLM認証設定」にある「LDAP over TLS」を「有効にする」にチェックを入れ保存します。
2. LDAPサーバーのポート番号(デフォルト:389)をLDAPSサーバー側でサービスしている
ポート(デフォルト:636)に変更して保存します。
設定箇所:
LDAP認証 [ システム設定 / ユーザー認証 / LDAPサーバー設定 ]
NTLM認証 [ システム設定 / ユーザー認証 / NTLM Active Directory設定 ]
3. 「i-FILTER」を再起動します。
【その他の対処方法】
「LDAP over TLS」機能の有効化が難しい場合、認証サーバー側で
「LDAP署名」を無効化して対応してください。
※「LDAP署名」の無効化方法についてはOS側設定となるため弊社ではご案内しておりません。
以下のMicrosoft社ページを参照するか、OSベンダー様に相談してください。
◆LdapEnforceChannelBinding レジストリ エントリの設定による SSL/TLS 接続の LDAP 認証の安全性の向上
https://support.microsoft.com/ja-jp/help/4034879/how-to-add-the-ldapenforcechannelbinding-registry-entry
【参考情報】
Windows側でLDAP over TLSを受け付けられるようにするための設定については、
下記FAQページを参考にしてください。
▼参考FAQ
「i-FILTER」Active Directoryで「LDAP over TLS」を利用する場合の
認証サーバー側設定を教えてください
https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=4419
【注意】
Linux版の「i-FILTER」で、バージョンがVer.9.50R08 Ver.10.30R01 Ver.10.40R01のいずれかを
ご利用の場合、LDAPS(LDAP over TLS)を有効にすると「i-FILTER」が不正終了することがあります。
対応方法は下記FAQページを参照してください。
▼参考FAQ 「i-FILTER」をご利用の場合
https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=4654
▼参考FAQ 「D-SPA」をご利用の場合
https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=4655
|
