2020年後半のWindows UpdateによるAD LDAP署名・チャネルバインディング有効化の影響について(2020/01/23)
■ 更新履歴
・2020 年 3 月の Windows Update 内容に変更があったため、更新しました。(2020/3/3 更新)・「■対象」の確認手順と「■対応策」の手順を追加しました。(2020/3/3 更新)
・「■対象」に誤りがあったため、修正いたしました。ご迷惑をおかけし大変申し訳ございません。(2020/1/24 更新)
■ 背景と事象
マイクロソフトより、2020 年後半(※)に提供される Windows Update にて、
Active Directory (以下 AD)ドメインコントローラーで LDAP 署名と LDAP チャネルバインディングを既定で有効化する更新プログラムがリリースされることがアナウンスされました。 パッケージ版 Garoon では、認証サーバーに任意の LDAP サーバーを設定できます。
▼(参考)ADV190023 | LDAP チャネル バインディングと LDAP 署名を有効にするためのマイクロソフト ガイダンス
LDAP サーバーとして AD を利用している場合は、Garoon のユーザー情報やパスワードは AD 上で管理されます。
Garoon 上の LDAP サーバーの設定で、プロトコルとして LDAP over SSL/TLS(以下 LDAPS)ではなく LDAP を使用する設定としている場合、2020 年後半の Windows Update により、ユーザーは Garoon にログインできなくなります。
それに先立ち、2020 年 3 月の Windows Update では、LDAP 署名とLDAP チャネルバインディングを強化できる新しい監査イベント、新しいログ、およびグループ ポリシー値の再マッピングが追加されます。(このとき、既定値の有効化はまだ行われません。)
今後の Windows Update スケジュールは、マイクロソフトのセキュリティアドバイザリをご確認ください。
■ 対象
下記すべてを満たしている環境が対象です。
・パッケージ版 Garoon 4.X、5.X を利用している
・AD による LDAP 認証を行っており、プロトコルに LDAP を使用している
<確認手順>
1. システム設定 > 基本システムの管理 > 認証 > 認証データベース で、
[AD サーバー] を指定している、かつ [SSL の使用] にチェックが入っていないことを確認
⇒該当しない場合は対象外です。
2. 1.の認証データベースを、ログイン認証やセッション認証で使用しているかどうかを確認
システム設定 > 基本システムの管理 > 認証 > ログイン認証
システム設定 > 基本システムの管理 > 認証 > セッション認証
⇒使用していない場合は対象外です。
・AD が稼働しているサーバー OS (※)が以下リンク先の適用対象 OS に含まれる
▼(参考)[AD管理者向け] 2020 年 LDAP 署名と LDAP チャネルバインディングが有効化。確認を!
(誤)Garoon が稼働しているサーバー OS
(正)AD が稼働しているサーバー OS
■ 対応策
2020 年後半の Windows Update までに、Garoon で LDAPS の設定を有効にしてください。 <手順> 2. Garoon サーバーで SSL/TLS を使用して、AD サーバーに接続するために必要な設定を実施してください。
1. AD サーバー側で SSL 接続が可能になるように設定してください。
▼(参考)SSL/TLSを使用して、LDAP サーバーに接続するために必要な設定
3. Garoon のシステム設定で AD サーバーとの通信に SSL を使用するよう設定してください。
▼(参考)認証データベースを変更する - 管理者ガイド(Garoon 5.0)
▼(参考)認証データベースを変更する - 管理者ガイド(Garoon 4.10)
▼その他のバージョンはこちら
■ 回避策
Garoon で LDAPS の設定を有効にできない場合は、
AD で LDAP 署名を無効化する、あるいはセキュリティパッチの適用を見送ってください。
LDAP 署名の無効化、あるいはセキュリティパッチを適用しない場合のリスクは、リンク先を参照ください。
▼(参考)[AD管理者向け] 2020 年 LDAP 署名と LDAP チャネルバインディングが有効化。確認を!
※詳細は、パートナーまたは購入元販売店までお問い合わせください。
■ お問い合わせ
本内容についてご不明な点がございましたらメール・電話サポートのご利用方法をご確認いただき、お問い合わせください。
▼テクニカルサポートの問い合わせ方法を教えてください。
※Windows Update や AD に関するお問い合わせは、恐れ入りますが弊社ではお答えすることができません。
マイクロソフトまでお問い合わせくださいますよう、お願い申し上げます。