本文書は2020年4月24日に更新されています。更新版の文書はこちらをご参照ください。


2020年2月28日
インフォサイエンス株式会社
プロダクト事業部


マイクロソフト社におけるActiveDirectoryでのLDAP署名
及びLDAPチャネルバインディング設定変更に関するお知らせ


平素は弊社製品 Logstorage をご利用いただきまして、誠にありがとうございます。

本文書は、マイクロソフト社が計画しております、WindowsUpdateにより実施される、ActiveDirectory でのLDAP認証機能におけるセキュリティ強化対策としての「LDAP署名」「LDAPチャネルバインディング」の設定に関する変更について、Logstorageへの影響、並びに対応策を記述したものとなります。

マイクロソフト社からのアナウンスについては、以下のURLをご確認ください。

Windows の 2020 年 LDAP 署名と LDAP チャネル バインディングの要件
https://support.microsoft.com/ja-jp/help/4520412/2020-ldap-channel-binding-and-ldap-signing-requirement-for-windows

ADV190023 | LDAP チャネル バインディングと LDAP 署名を有効にするための
マイクロソフト ガイダンス

https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV190023

本文書は、上記、及び本文書の公開時点である2020年2月28日時点でのマイクロソフト社から発表された情報に基づき記述しております。
本文書は、公開後にお断りなく変更、更新される可能性があります。

1. 対象製品/機能と影響

弊社製品の以下の2製品をご利用の場合に、影響を受ける可能性があります。
  • Logstorage
  • ELC Analytics

  • 対象製品をご利用のお客様で、以下の条件をすべて満たす環境について、本件の影響が発生します。
  • Logstorageのユーザ個別の「認証設定」を「LDAP/AD認証」としている
  • コンソールサーバ設定のLDAP/AD認証の「サーバ設定」「プロトコル」を「ldap」に設定している

  • 上記条件を満たす環境では、マイクロソフト社からアナウンスに該当する更新内容を含むWindowsUpdateが配信・適用された場合、Logstorageの設定によっては、以下の影響が発生します。
  • Logstorageのユーザの認証設定が「LDAP/AD認証」を用いているユーザがコンソールサーバに
      ログインできなくなる
  • LDAP/AD同期機能が使用できなくなる

  • なお、Logstorageのユーザの認証設定が「Logstorage内部認証」を用いているユーザについては、本件についての影響はございません。

    2. LDAP署名、LDAPチャネルバインディングについて

    2.1 WindowsUpdateによる影響

    本文書の公開時点(2020年2月28日)においては、2020年3月のWindowsUpdateの適用について、LDAP認証関連の機能追加(GPOへのポリシー追加、イベントログ追加等)は実施されますが、LDAP認証関連のOS設定値の変更は実施されないため、実質的なLogstorageのLDAP/AD認証機能への影響はないものと認識しております。
    ※ただし、お客様にてこれらの設定を変更した場合については、影響が発生します。

    2020年後半(具体的なリリース日程は不明)のWindowsUpdateにおいては、これらのLDAP認証関連の設定値が変更されるため、LogstorageのLDAP/AD認証機能への影響が発生します。
    ※LDAP認証関連の設定値の変更については、当初は2020年3月のWindowsUpdateで実施される、とアナウンスされておりましたが、その後 2020年2月10日に 2020年後半に実施を延期する旨発表されております。

    そのため、本文書の公開日(2020年2月28日)以後において、改めて延期、または適用内容の変更が行われる可能性がございます。

    2.2 LDAP署名について

    2020年後半のWindowsUpdateによるLDAP署名の設定値の変更に伴い、ADドメインコントローラーは以下のいずれかのLDAP問い合わせのみ受け付けるように変更されます。

  • 署名付きLDAP
  • LDAPS(LDAP SSL/TLS)

  • Logstorageでは、LDAP署名を用いたLDAP/AD認証には対応しておりません。
    そのため、LDAP署名を有効化されたドメインコントローラーに対して、LDAP/AD認証を用いるためには、LDAP/AD認証に際して「LDAP」ではなく「LDAPS」を使用する必要があります。

    WindowsにおけるLDAP署名の詳細な設定については、以下のURLをご確認ください。

    WINDOWS Server 2008 で LDAP 署名を有効にする方法
    https://support.microsoft.com/ja-jp/help/935834/how-to-enable-ldap-signing-in-windows-server-2008

    2.3 LDAPチャネルバインディングについて

    2020年後半のWindowsUpdateによるLDAPチャネルバインディングの設定値の変更に伴い、LDAPS問い合わせ時のチャネルバインディングについては、クライアント側のチャネルバインディングの設定(有効または無効)に従って、サーバ(ドメインコントローラー)がチャネルバインディングを用いてクライアントの正当性を検証するかどうかを決定します。

    Logstorageでは、LDAPチャネルバインディングに対応しておりませんが、上記の通り、2020年後半のWindowsUpdateでは、あくまでクライアント側のチャネルバインディングの設定(有効または無効)に従う動作となるため、お客様に於いてサーバOS(ドメインコントローラー)の設定値を「常にチャネルバインディングを用いて検証する設定」に変更しない限り、LogstorageのLDAP/AD認証機能への影響は発生しません。

    WindowsにおけるLDAPチャネルバインディングの詳細な設定については、以下のURLをご確認ください。

    LdapEnforceChannelBinding レジストリ エントリの設定による SSL/TLS 接続の
    LDAP 認証の安全性の向上

    https://support.microsoft.com/ja-jp/help/4034879

    3. 対応策

    以下の3つの対応策から、お客様のシステム・環境に合わせた対策をご検討ください。
    1. LogstorageのLDAP/AD設定をマイクロソフト社推奨の設定に変更する
    2. Logstorageのユーザ認証設定を「内部認証」に変更する
    3. 認証を実行する対象のADドメインコントローラーの設定を現状のままとする(またはWindowsUpdateの当該修正を適用しない)
    以下、それぞれの対応策の手順概要を示します。

    3.1 LogstorageのLDAP/AD設定をマイクロソフト社推奨の設定に変更する

    コンソールサーバのユーザ毎の「認証設定」を「LDAP/AD認証」に設定しており、なおかつコンソールサーバ設定の「ユーザ認証」→「LDAP/AD認証」→「サーバ設定」のプロトコルが「ldap」の場合は、プロトコルを「ldaps」に変更します。

    また、コンソールサーバ全体のトラストストアを有効にした上で、ADドメインコントローラーの証明書を当該トラストストアに追加します。

    ただし、LogstorageコンソールサーバのトラストストアはLDAPS通信だけでなく、コンソールサーバから発信されるSMTPS通信(定期レポートのメール送付や、動作ログのメール通知等)においても証明書の確認が有効となるため、コンソールサーバからのメール発信時にSMTPS通信を利用している場合は、ADドメインコントローラーの証明書をトラストストアに追加しただけでは、SMTPS通信が失敗する場合があります。

    その場合は、ADドメインコントローラーの証明書に加えて、SMTPS通信を行う対象のSMTPSサーバの証明書をトラストストアに追加する必要があります。

    ≪メリット≫
    • マイクロソフト社の推奨するセキュリティ基準に則った暗号化処理を実施した認証処理が可能となります
    • 現状のユーザ運用を変更することなく、Logstorageをご利用いただけます
    ≪デメリット≫
    • 環境によっては、複数の証明書の設定並びに検証作業が発生します

    なお、SMTPS通信を行う対象のSMTPSサーバの証明書の発行手順については、各社製品の機能となります為、製品の開発・販売元にお問い合わせいただきますようお願いいたします。

    3.2 ユーザ認証設定を「内部認証」に変更する

    Logstorageのユーザ毎の認証設定を「LDAP/AD認証」から「Logstorage内部認証」に変更します。

    なお、「Logstorage内部認証」に変更後、設定を保存する際には、改めてパスワードの入力が必要となります。
    ※LDAP/AD認証を実施していたADドメインコントローラーからパスワードを引き継ぐことはできません。

    ≪メリット≫
    • LDAPを用いた認証を行わなくなるため、マイクロソフト社のLDAPに関するポリシー変更の影響を受けなくなります
    • 他社製品のLDAP/AD連携についての設定に依存することなく、Logstorageを運用することができます
    ≪デメリット≫
    • Logstorageユーザの運用(ユーザ追加、削除、パスワード変更)について、ActiveDirectoryのユーザとは別個に運用する必要があります

    3.3 認証を実行する対象のADドメインコントローラーの設定を現状のままとする

    マイクロソフト社からは、ActiveDirectoryのLDAP認証機能について、WindowsUpdateによるポリシーの配信後も、現状と同じ設定(LDAP署名、並びにLDAPチャネルバインディングが既定値で不要のまま、LDAP認証を行える)のまま運用可能とする手順が案内されています。

    以下のマイクロソフト社のアナウンスをご参照いただき、ADドメインコントローラー側のポリシーを現状通りとなるよう設定します。

    WINDOWS Server 2008 で LDAP 署名を有効にする方法
    https://support.microsoft.com/ja-jp/help/935834/how-to-enable-ldap-signing-in-windows-server-2008

    LdapEnforceChannelBinding レジストリ エントリの設定による
    SSL/TLS 接続の LDAP 認証の安全性の向上

    https://support.microsoft.com/ja-jp/help/4034879

    もしくは、WindowsUpdateの当該修正を適用しないことで、現状のままの運用が可能です。

    ≪メリット≫
    • 現状の運用を変更することなく、Logstorageをお使いいただけます
    ≪デメリット≫
    • マイクロソフト社が推奨するセキュリティ基準を満たさない環境での運用となります

    4. お問い合せ先

    本件についてのお問い合わせは、Logstorageサポート窓口までご連絡ください。
    Logstorageサポート窓口につきましては、下記のURLをご確認ください。
    https://www.logstorage.com/support/support.html

    弊社からは、マイクロソフト社製品を含む他社製品に関する設定の変更等について、十分な回答を致しかねる場合がございますので、その点は予めご了承ください。

    5. 関連情報

    [AD管理者向け] 2020 年 LDAP 署名と LDAP チャネルバインディングが有効化。確認を!
    https://msrc-blog.microsoft.com/2019/10/02/ldapbinding/

    Windows の 2020 年 LDAP 署名と LDAP チャネル バインディングの要件
    https://support.microsoft.com/ja-jp/help/4520412/2020-ldap-channel-binding-and-ldap-signing-requirement-for-windows

    ADV190023 | LDAP チャネル バインディングと LDAP 署名を有効にするための
    マイクロソフト ガイダンス

    https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV190023

    WINDOWS Server 2008 で LDAP 署名を有効にする方法
    https://support.microsoft.com/ja-jp/help/935834/how-to-enable-ldap-signing-in-windows-server-2008

    LdapEnforceChannelBinding レジストリ エントリの設定による
    SSL/TLS 接続の LDAP 認証の安全性の向上

    https://support.microsoft.com/ja-jp/help/4034879