【概要】
2020年後半にマイクロソフト社が公開予定のWindowsセキュリティ更新プログラムにて、
LDAPサーバー機能において「LDAPチャネルバインディング」「LDAP署名」の両機能を
有効にするという方針が示されていました。
しかしながら、その後マイクロソフト社の方針が以下のように変わりました。
|
■ADV190023 | LDAPチャネルバインディングと LDAP 署名を有効にするためのマイクロソフト ガイダンス
(外部サイトに遷移します)
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/adv190023
重要: 2020年3月11日と近い将来の更新プログラムを適用しても、新規または既存のドメインコントローラー上の
LDAP署名またはLDAPチャネルバインディングのポリシー、またはそれらに相当するレジストリは変更されません。
|
そのため、「FinalCode」への影響はありません。
なお、「FinalCode」は上記のうち「LDAP署名」に対応していないため、
もしお客様自身で機能を有効化される場合や、
今後マイクロソフト社の方針が再度変更されて機能が有効化された場合は
下記【具体的な事象】に記載した問題が発生します。
【影響を受ける環境】
下記すべてに該当する場合、影響を受けます。
1.外部サービス連携設定で「AD設定」を利用している。
2.LDAPサーバーとして下記のいずれかを利用している。
Windows Server 2016
Windows Server 2019
3.「AD設定」→「基本設定」の「SSL」がOFFになっている。
【具体的な事象】
管理画面の利用、暗号化・復号化といった基本機能のほとんどが利用できなくなる。
※ADSyncAgent利用環境では一部機能は利用可能ですが、ADの設定が反映されません。
【対処方法】
1.VA版の場合はFinalCode ServerをVer.6.21R01にバージョンアップします。
※クライアント側の対応は不要です。
2.FinalCodeの管理画面からAD設定のSSLをONにします。
主管理者のFinalCodeクライアントから「管理画面」を表示
「管理モード」→「システム管理」→「外部サービス連携設定」→「AD設定」→「基本設定」の「SSL」をONにします。
【その他の対処方法】
「通信暗号化(LDAPSを有効にする)」機能の有効化が難しい場合、認証サーバー側で
【参考情報】
Windows側でLDAPSを受け付けられるようにするための設定については、
下記FAQを参考にしてください。
参考FAQ
▽「m-FILTER」Active Directoryで「LDAPS」を利用する場合の認証サーバー側設定を教えてください。
