お問い合わせ【Account@Adapterシリーズ】Active DirectoryにおけるLDAPチャネルバインディングとLDAP 署名の有効化に伴う影響について
- お知らせ
2019.12.17
マイクロソフト社より、2020年3月のWindowsセキュリティ更新プログラムにおいて、LDAPサーバーの「LDAP チャネルバインディング」「LDAP署名」両機能を有効にするという方針が出されております。(ご参考:外部サイト)https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/adv190023
Account@Adapter+の外部LDAP/AD一覧画面または、Account@AdapterのLDAP一覧画面に表示されている外部LDAP/ADまたは外部LDAPが下記【設定】だった場合、2020年3月のWindowsセキュリティ更新プログラム適用後に、下記【影響】を受けます。 2020年3月のWindowsセキュリティ更新プログラムを適用する前に、下記【回避策】を実施いただくことで当該【影響】を回避することが可能となりますので、該当する場合はご対応のほどよろしくお願いします。
Account@Adapter+(6系)の該当する【設定】および【影響】とその【回避策】
【設定】
外部LDAP/AD一覧画面(外部LDAP/AD参照>外部LDAP/AD一覧)
・種別がActive Directory
・ポート番号が「389」で、かつ「STARTTLSを使用する」にチェックを付けていない
【影響】
(1)Active Directoryのアカウントを使用したPAP認証が失敗するようになります。
(2)TLS認証をしていて、かつ「Authorize(アカウント検索)」設定でActive Directoryのアカウントを検索し、「当該アカウントが存在しない場合、認証を拒否する」設定をしていた場合、認証が失敗するようになります。
(3)Active Directoryのアカウントを使用した上記(1)(2)以外の認証は成功しますが、ネットワークプロファイル適用機能や属性マップによるRADIUS属性付与/チェックが処理されなくなります。
(4)Active Directoryのアカウントを使用したユーザーツールへのログインができなくなります。
(5)外部LDAP/AD設定で接続監視を「監視する」としていた場合、監視に失敗するようになります。また、外部LDAP/AD一覧画面で「有効」リンクをクリックした際に「LDAP検索に失敗しました。」と表示されるようになります。
(6)外部LDAP/AD設定の「連動アカウント削除機能」の「差分定期抽出による削除」および「指定条件による削除」が正しく処理できなくなるため、Account@Adapter+内のアカウントが連動削除されなくなります。
(補足)
以下の機能には影響ありません。
(1)ADユーザー登録機能
【回避策】
下記(1)もしくは(2)いずれかの対応をお願いします。
(1)Active Directory側でSTARTTLSに対応させ、Account@Adapter+の外部LDAP/AD設定で、ポート番号「389」で「STARTTLSを使用する」にチェックを付ける。
※ご利用になっているAccount@Adapter+がVer.6.01.01以前だった場合、既知の問題「Account60000-ER138」の影響を受けます。この場合、Account@Adapter+をVer.6.02.00以降にアップデートしてから対応してください。
(2)Active Directory側でポート636でのLDAPS接続を有効にして、Account@Adapter+の外部LDAP/AD設定でポート番号「636」に設定する。
※この場合「STARTTLSを使用する」にチェックを付ける必要はありません。
※ご利用になっているAccount@Adapter+がVer.6.07.01以前だった場合、既知の問題「Account60000-ER292」の影響を受けます。(Ver.6.00.00の場合、「Account60000-ER025」の影響も受けます) この場合、Account@Adapter+をVer.6.08.00以降にアップデートしてから対応してください。
Account@Adapter(5系)の該当する【設定】および【影響】とその【回避策】
【設定】
LDAP一覧画面(外部サーバー連係>外部LDAP認証設定>外部LDAP認証)
・情報がActive Directory
・ポート番号が「389」で、かつ「LDAPSを使用する(Ver.5.05.00以降は StartTLSを使用する)」にチェックを付けていない
【影響】
(1)Active Directoryのアカウントを使用したPAP認証が失敗するようになります。
(2)Active Directoryのアカウントを使用したPAP以外の認証は成功しますが、LDAP認証グループ設定機能やldap_attrmapによる、RADIUS属性付与/チェックが処理されなくなります。
(3)Active Directoryのアカウントを使用したユーザーツールへのログインができなくなります。
(4)外部LDAP認設定で接続監視を「監視する」としていた場合、監視に失敗するようになります。また、LDAP一覧画面で「有効」リンクをクリックした際に「LDAP検索に失敗しました。」と表示されるようになります。
(5)外部LDAP設定の「管理端末削除機能」の「差分定期抽出による削除」が正しく処理できなくなるため、Account@Adapter内の端末アカウントが連動削除されなくなります。
(補足)
以下の機能には影響ありません。
(1)Active Directoryデータ連係機能
【回避策】
下記(1)もしくは(2)いずれかの対応をお願いします。
(1)Active Directory側でSTARTTLSに対応させ、Account@Adapterの外部LDAP設定で、ポート番号「389」で「LDAPSを使用する(Ver.5.05.00以降は StartTLSを使用する)」にチェックを付ける。
※既知の問題「Account40400-ER007」の影響で、「LDAPSを使用する」のチェックボックスはSTARTTLSのON/OFF機能となっております。
(2)Active Directory側でポート636でのLDAPS接続を有効にして、Account@Adapterの外部LDAP設定でポート番号「636」に設定する。
※既知の問題「Account40400-ER007」の影響で、「LDAPSを使用する」のチェックボックスはSTARTTLSのON/OFF機能となっているため、「LDAPSを使用する」にチェックを付ける必要はありません。
補足事項
Active Directory側のSTARTTLSやLDAPS接続に対応させる方法や確認方法につきましては、Windows Serverシリーズの仕様/設定方法となりますので、マイクロソフト社へのお問い合わせをお願いします。
