URLをクリップボードにコピーしました
FAQ_URL:https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=4424
|
最終更新日 2020/12/14 |
FAQ_ID:4424 |
Business >
m-FILTER Ver.4/Ver.5 >
管理画面
Business >
m-FILTER Ver.4/Ver.5 >
グループ
Business >
m-FILTER Ver.4/Ver.5 >
認証
|
「m-FILTER」Windowsにおける『LDAPチャネルバインディング』『LDAP署名』有効化による影響はありますか
|
|
対応バージョン: m-FILTER Ver.4 Ver.5
対応OS: すべてのOS
【概要】
2020年後半にマイクロソフト社が公開予定のWindowsセキュリティ更新プログラムにて、
LDAPサーバー機能において「LDAPチャネルバインディング」「LDAP署名」の両機能を
有効にするという方針が示されていました。
しかしながら、その後マイクロソフト社の方針が以下のように変わりました。
■ADV190023 | LDAPチャネルバインディングと LDAP 署名を有効にするためのマイクロソフト ガイダンス
(外部サイトに遷移します)
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/adv190023
重要: 2020年3月11日と近い将来の更新プログラムを適用しても、新規または既存のドメインコントローラー上の
LDAP署名またはLDAPチャネルバインディングのポリシー、またはそれらに相当するレジストリは変更されません。
|
そのため、「m-FILTER」への影響はありません。
なお、「m-FILTER」は上記のうち「LDAP署名」に対応していないため、
もしお客様自身で機能を有効化される場合や、
今後マイクロソフト社の方針が再度変更されて機能が有効化された場合は
下記【具体的な事象】に記載した問題が発生します。
【影響を受ける環境】
下記すべてに該当する場合、影響を受けます。
1.下記のいずれか、もしくは組み合わせを利用している。
・「m-FILTER認証方式」で「LDAP認証」を指定している
・グループ登録の際、一部または全部のユーザーを「LDAP登録ユーザー」で行っている
・管理者登録の際、一部または全部の管理者を「LDAP設定検索」で行っている
2.LDAPサーバーとして下記のいずれかを利用している
Windows Server 2008 SP2
Windows Server 2008 R2 SP1
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
Windows Server 2019
3.「通信暗号化(LDAPSを有効にする)」機能が無効となっている
【具体的な事象】
■「m-FILTER認証方式」で「LDAP認証」を指定している場合
認証サーバー側でWindows Update完了後、認証が失敗してメール送信が
できなくなります。
■グループ登録を「LDAP登録ユーザー」で行っている場合
正常なグループ判定ができなくなり、すべてのメールが「<<標準のグループ>>」に
判定されます。
また、「利用者向け管理画面」にログインできなくなります。
■管理者登録を「LDAP設定検索」で行っている場合
管理画面へのログインができなくなります。
※「m-FILTER」がインストールされているサーバーをWindows Updateするのみでは
上記事象は発生しません。
【対処方法】
「通信暗号化(LDAPSを有効にする)」機能を利用することにより、影響を回避する
ことが可能です。
手順は下記FAQを参照してください。
▼参考FAQ
「m-FILTER」LDAPSを使用するために必要な設定を教えてください
https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=4414
【その他の対処方法】
「通信暗号化(LDAPSを有効にする)」機能の有効化が難しい場合、認証サーバー側で
「LDAP署名」を無効化して対応してください。
※「LDAP署名」の無効化方法についてはOS側設定となるため弊社ではご案内しておりません。
以下のMicrosoft社ページを参照するか、OSベンダー様に相談してください。
◆WINDOWS Server 2008 で LDAP 署名を有効にする方法
https://support.microsoft.com/ja-jp/help/935834/how-to-enable-ldap-signing-in-windows-server-2008
◆LdapEnforceChannelBinding レジストリ エントリの設定による SSL/TLS 接続の LDAP 認証の安全性の向上
https://support.microsoft.com/ja-jp/help/4034879/how-to-add-the-ldapenforcechannelbinding-registry-entry
【参考情報】
Windows側でLDAPSを受け付けられるようにするための設定については、
下記FAQを参考にしてください。
▽参考FAQ
「m-FILTER」Active Directoryで「LDAPS」を利用する場合の
認証サーバー側設定を教えてください
https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=4423
|