「m-FILTER」Windowsにおける『LDAPチャネルバインディング』『LDAP署名』有効化による影響はありますか | よくある質問（FAQ検索） | お客様サポート

i-FILTER@Cloud

m-FILTER@Cloud

Deskシリーズ

i-FILTER Ver.9/Ver.10/Reporter

i-FILTER ブラウザー&クラウド

m-FILTER Ver.4/Ver.5

m-FILTER MailAdviser

FinalCode

D-SPA

StartIn

f-FILTER

お知らせ

トラブルシューティングガイド

気になるキーワードをクリック！

FAQ_URL：https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=4424

最終更新日 2020/12/14

FAQ_ID：4424

Business > m-FILTER Ver.4/Ver.5 > 管理画面

Business > m-FILTER Ver.4/Ver.5 > グループ

Business > m-FILTER Ver.4/Ver.5 > 認証

	「m-FILTER」Windowsにおける『LDAPチャネルバインディング』『LDAP署名』有効化による影響はありますか

対応バージョン： m-FILTER Ver.4 Ver.5
対応OS：すべてのOS

【概要】

2020年後半にマイクロソフト社が公開予定のWindowsセキュリティ更新プログラムにて、

LDAPサーバー機能において「LDAPチャネルバインディング」「LDAP署名」の両機能を

有効にするという方針が示されていました。

しかしながら、その後マイクロソフト社の方針が以下のように変わりました。

■ADV190023 | LDAPチャネルバインディングと LDAP 署名を有効にするためのマイクロソフトガイダンス

(外部サイトに遷移します)

https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/adv190023

重要: 2020年3月11日と近い将来の更新プログラムを適用しても、新規または既存のドメインコントローラー上の

LDAP署名またはLDAPチャネルバインディングのポリシー、またはそれらに相当するレジストリは変更されません。

そのため、「m-FILTER」への影響はありません。

なお、「m-FILTER」は上記のうち「LDAP署名」に対応していないため、

もしお客様自身で機能を有効化される場合や、

今後マイクロソフト社の方針が再度変更されて機能が有効化された場合は

下記【具体的な事象】に記載した問題が発生します。

【影響を受ける環境】
　下記すべてに該当する場合、影響を受けます。

　1.下記のいずれか、もしくは組み合わせを利用している。
　　・「m-FILTER認証方式」で「LDAP認証」を指定している
　　・グループ登録の際、一部または全部のユーザーを「LDAP登録ユーザー」で行っている
　　・管理者登録の際、一部または全部の管理者を「LDAP設定検索」で行っている

　2.LDAPサーバーとして下記のいずれかを利用している
　　Windows Server 2008 SP2
　　Windows Server 2008 R2 SP1
　　Windows Server 2012
　　Windows Server 2012 R2
　　Windows Server 2016
　　Windows Server 2019

　3.「通信暗号化（LDAPSを有効にする）」機能が無効となっている

【具体的な事象】
　■「m-FILTER認証方式」で「LDAP認証」を指定している場合
　　認証サーバー側でWindows Update完了後、認証が失敗してメール送信が
　　できなくなります。

　■グループ登録を「LDAP登録ユーザー」で行っている場合
　　正常なグループ判定ができなくなり、すべてのメールが「<<標準のグループ>>」に
　　判定されます。
　　また、「利用者向け管理画面」にログインできなくなります。

　■管理者登録を「LDAP設定検索」で行っている場合
　　管理画面へのログインができなくなります。

　※「m-FILTER」がインストールされているサーバーをWindows Updateするのみでは
　　上記事象は発生しません。

【対処方法】
　「通信暗号化（LDAPSを有効にする）」機能を利用することにより、影響を回避する
　ことが可能です。
　手順は下記FAQを参照してください。

　▼参考FAQ
　「m-FILTER」LDAPSを使用するために必要な設定を教えてください
　https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=4414

【その他の対処方法】
　「通信暗号化（LDAPSを有効にする）」機能の有効化が難しい場合、認証サーバー側で
　「LDAP署名」を無効化して対応してください。
　　※「LDAP署名」の無効化方法についてはOS側設定となるため弊社ではご案内しておりません。
　　　以下のMicrosoft社ページを参照するか、OSベンダー様に相談してください。
　　　◆WINDOWS Server 2008 で LDAP 署名を有効にする方法
　　　https://support.microsoft.com/ja-jp/help/935834/how-to-enable-ldap-signing-in-windows-server-2008
　　　◆LdapEnforceChannelBinding レジストリエントリの設定による SSL/TLS 接続の LDAP 認証の安全性の向上
　　　https://support.microsoft.com/ja-jp/help/4034879/how-to-add-the-ldapenforcechannelbinding-registry-entry

【参考情報】
　Windows側でLDAPSを受け付けられるようにするための設定については、
　下記FAQを参考にしてください。

　▽参考FAQ
　「m-FILTER」Active Directoryで「LDAPS」を利用する場合の
　認証サーバー側設定を教えてください
　https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=4423

関連語	Ｍ－ＦＩＬＴＥＲ影響有効化ＷｉｎｄｏｗｓＬＤＡＰＳ

「m-FILTER」管理画面へのアクセス時に『ホワイトリスト配信許諾』画面が表示...

「m-FILTER」管理画面からバージョンアップ(アップデート)する方法を教えて...

「m-FILTER」『421 Service not available』のエラ...

「m-FILTER」『552 Channel size limit exceed...

デジタルアーツ製品の導入を検討していますが製品説明動画はありますか