(公開)2020年2月28日
(更新)2020年3月13日
(更新)2020年4月24日
インフォサイエンス株式会社
プロダクト事業部


マイクロソフト社におけるActiveDirectoryでのLDAP署名
及びLDAPチャネルバインディング設定変更に関するお知らせ


平素は弊社製品 Logstorage をご利用いただきまして、誠にありがとうございます。

本文書は、マイクロソフト社からアナウンスされております、WindowsUpdateにより実施される、ActiveDirectory でのLDAP認証機能におけるセキュリティ強化対策としての「LDAP署名」「LDAPチャネルバインディング」の設定について、Logstorageへの影響、並びに対応が必要となる場合の対応策を記述したものとなります。

マイクロソフト社からのアナウンスについては、以下のURLをご確認ください。

Windows の 2020 年 LDAP 署名と LDAP チャネル バインディングの要件
https://support.microsoft.com/ja-jp/help/4520412/2020-ldap-channel-binding-and-ldap-signing-requirement-for-windows

ADV190023 | LDAP チャネル バインディングと LDAP 署名を有効にするための
マイクロソフト ガイダンス

https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV190023

本文書は、上記、及び本文書の公開時点である2020年2月28日時点、及び更新時点である2020年4月24日時点でのマイクロソフト社から発表された情報に基づき記述しております。
本文書は、公開後にお断りなく変更、更新される可能性があります。

1. はじめに(2020年4月24日更新)

2020年3月10日に更新されたマイクロソフトからのアナウンス「ADV190023 | LDAP チャネル バインディングと LDAP 署名を有効にするためのマイクロソフト ガイダンス」では、「LDAP署名」「LDAPチャネルバインディング」のレジストリ(設定値)について、WindowsUpdateによる強制的な変更は当面実施されない、との案内が追加されました。
※以前のご案内では、「WindowsUpdateによる強制的な変更は当面実施されない」とご案内しておりましたが、2020年4月に確認した時点での最新のマイクロソフトのアナウンスに従い、「当面」を削除しました。

そのため、お客様自らWindows ActiveDirectory の LDAP 機能に関するレジストリ(設定値)を変更することがない限り、Logstorageに対する影響は発生せず、本章以後でご案内している各種対策を実施しなくとも、Logstorageを継続してご利用いただけます。

2. 対象製品/機能と影響

弊社製品の以下の2製品をご利用の場合に、影響を受ける可能性があります。
  • Logstorage
  • ELC Analytics

  • 対象製品をご利用のお客様で、以下の条件をすべて満たす環境について、本件の影響が発生します。
  • Logstorageのユーザ個別の「認証設定」を「LDAP/AD認証」としている
  • コンソールサーバ設定のLDAP/AD認証の「サーバ設定」「プロトコル」を「ldap」に設定している

  • 上記条件を満たす環境では、マイクロソフト社からアナウンスに該当する更新内容を上記条件を満たす環境では、お客様がActiveDirectoryのLDAP 署名と LDAP チャネル バインディングに関する設定を変更した場合、Logstorageの設定によっては、以下の影響が発生します。含むWindowsUpdateが配信・適用された場合、Logstorageの設定によっては、以下の影響が発生します。
  • Logstorageのユーザの認証設定が「LDAP/AD認証」を用いているユーザがコンソールサーバに
      ログインできなくなる
  • LDAP/AD同期機能が使用できなくなる

  • なお、Logstorageのユーザの認証設定が「Logstorage内部認証」を用いているユーザについては、本件についての影響はございません。

    3. LDAP署名、LDAPチャネルバインディングについて

    3.1 WindowsUpdateによる影響

    本文書の公開時点(2020年2月28日)においては、2020年3月のWindowsUpdateの適用について、LDAP認証関連の機能追加(GPOへのポリシー追加、イベントログ追加等)は実施されますが、LDAP認証関連のOS設定値の変更は実施されないため、実質的なLogstorageのLDAP/AD認証機能への影響はないものと認識しております。
    ※ただし、お客様にてこれらの設定を変更した場合については、影響が発生します。

    また、2020年3月10日に更新されたマイクロソフトのドキュメント「ADV190023 | LDAP チャネル バインディングと LDAP 署名を有効にするためのマイクロソフト ガイダンス」では、これらのLDAP認証関連のレジストリ(設定値)については、WindowsUpdateによる強制的な変更は当面行わないとの記述が追加されました。
    ※LDAP認証関連のレジストリ(設定値)の変更については、当初は2020年3月のWindowsUpdateで実施される、とアナウンスされておりましたが、その後 2020年2月10日に 2020年後半に実施を延期する旨発表されております。

    その後、2020年3月10日のアナウンス更新において、WindowsUpdateによる強制的なレジストリの変更は当面実施されない、と追記されております。

    3.2 LDAP署名について

    LDAP署名に関するWindowsUpdate(提供時期は未定)を適用した場合に、LDAP署名の設定値の変更に伴い、ADドメインコントローラーは以下のいずれかのLDAP問い合わせのみ受け付けるように変更される、とマイクロソフトからアナウンスされています。

  • 署名付きLDAP
  • LDAPS(LDAP SSL/TLS)

  • Logstorageでは、LDAP署名を用いたLDAP/AD認証には対応しておりません。
    そのため、LDAP署名を有効化されたドメインコントローラーに対して、LDAP/AD認証を用いるためには、LDAP/AD認証に際して「LDAP」ではなく「LDAPS」を使用する必要があります。

    WindowsにおけるLDAP署名の詳細な設定については、以下のURLをご確認ください。

    WINDOWS Server 2008 で LDAP 署名を有効にする方法
    https://support.microsoft.com/ja-jp/help/935834/how-to-enable-ldap-signing-in-windows-server-2008

    3.3 LDAPチャネルバインディングについて

    LDAPチャネルバインディングに関するWindowsUpdate(提供時期は未定)の適用によるLDAPチャネルバインディングの設定値の変更に伴い、LDAPS問い合わせ時のチャネルバインディングについては、クライアント側のチャネルバインディングの設定(有効または無効)に従って、サーバ(ドメインコントローラー)がチャネルバインディングを用いてクライアントの正当性を検証するかどうかを決定する動作となることが、マイクロソフトからアナウンスされています。

    Logstorageでは、LDAPチャネルバインディングに対応しておりませんが、上記の通り、将来のWindowsUpdateでは、あくまでクライアント側のチャネルバインディングの設定(有効または無効)に従う動作となるため、お客様に於いてサーバOS(ドメインコントローラー)の設定値を「常にチャネルバインディングを用いて検証する設定」に変更しない限り、LogstorageのLDAP/AD認証機能への影響は発生しません。

    WindowsにおけるLDAPチャネルバインディングの詳細な設定については、以下のURLをご確認ください。

    LdapEnforceChannelBinding レジストリ エントリの設定による SSL/TLS 接続の
    LDAP 認証の安全性の向上

    https://support.microsoft.com/ja-jp/help/4034879

    4. 対応策

    本章では、以下のいずれかの場合に、お客様のLogstorageに必要となる対応策を示します。
    1. (2020/4/24削除)LDAP署名、及びLDAPチャネルバインディングのレジストリ(設定値)を強制的に変更するWindowsUpdateが配信(時期未定)される場合
      (WindowsUpdateによる強制的な設定の更新は実施されないとのアナウンスがありましたため、上記は対象外となります)
    2. お客様がWindows ActiveDirectoryにおけるLDAPに関するセキュリティポリシー(レジストリ)を現状から変更されることを検討される場合
    上記のいずれも該当しない場合は、本章で説明する対応策を検討いただく必要はなく、現状の設定・運用のまま、Logstorageをご利用いただけます。

    上記のいずれかに該当する場合は、以下の3つの対応策から、お客様のシステム・環境に合わせた対策をご検討ください。
    1. LogstorageのLDAP/AD設定をマイクロソフト社推奨の設定に変更する
    2. Logstorageのユーザ認証設定を「内部認証」に変更する
    3. 認証を実行する対象のADドメインコントローラーの設定を現状のままとする(またはWindowsUpdateの当該修正を適用しない)
    4. (2020/4/24 追記)LogstorageのLDAP/AD設定の認証方式、及び同期方式を変更する
    以下、それぞれの対応策の手順概要を示します。

    4.1 LogstorageのLDAP/AD設定をマイクロソフト社推奨の設定に変更する

    コンソールサーバのユーザ毎の「認証設定」を「LDAP/AD認証」に設定しており、なおかつコンソールサーバ設定の「ユーザ認証」→「LDAP/AD認証」→「サーバ設定」のプロトコルが「ldap」の場合は、プロトコルを「ldaps」に変更します。

    また、コンソールサーバ全体のトラストストアを有効にした上で、ADドメインコントローラーの証明書を当該トラストストアに追加します。

    ただし、LogstorageコンソールサーバのトラストストアはLDAPS通信だけでなく、コンソールサーバから発信されるSMTPS通信(定期レポートのメール送付や、動作ログのメール通知等)においても証明書の確認が有効となるため、コンソールサーバからのメール発信時にSMTPS通信を利用している場合は、ADドメインコントローラーの証明書をトラストストアに追加しただけでは、SMTPS通信が失敗する場合があります。

    その場合は、ADドメインコントローラーの証明書に加えて、SMTPS通信を行う対象のSMTPSサーバの証明書をトラストストアに追加する必要があります。

    ≪メリット≫
    • マイクロソフト社の推奨するセキュリティ基準に則った暗号化処理を実施した認証処理が可能となります
    • 現状のユーザ運用を変更することなく、Logstorageをご利用いただけます
    ≪デメリット≫
    • 環境によっては、複数の証明書の設定並びに検証作業が発生します

    なお、SMTPS通信を行う対象のSMTPSサーバの証明書の発行手順については、各社製品の機能となります為、製品の開発・販売元にお問い合わせいただきますようお願いいたします。

    4.2 ユーザ認証設定を「内部認証」に変更する

    Logstorageのユーザ毎の認証設定を「LDAP/AD認証」から「Logstorage内部認証」に変更します。

    なお、「Logstorage内部認証」に変更後、設定を保存する際には、改めてパスワードの入力が必要となります。
    ※LDAP/AD認証を実施していたADドメインコントローラーからパスワードを引き継ぐことはできません。

    ≪メリット≫
    • LDAPを用いた認証を行わなくなるため、マイクロソフト社のLDAPに関するポリシー変更の影響を受けなくなります
    • 他社製品のLDAP/AD連携についての設定に依存することなく、Logstorageを運用することができます
    ≪デメリット≫
    • Logstorageユーザの運用(ユーザ追加、削除、パスワード変更)について、ActiveDirectoryのユーザとは別個に運用する必要があります

    4.3 認証を実行する対象のADドメインコントローラーの設定を現状のままとする

    マイクロソフト社からは、ActiveDirectoryのLDAP認証機能について、WindowsUpdateによるポリシーの配信後も、現状と同じ設定(LDAP署名、並びにLDAPチャネルバインディングが既定値で不要のまま、LDAP認証を行える)のまま運用可能とする手順が案内されています。

    以下のマイクロソフト社のアナウンスをご参照いただき、ADドメインコントローラー側のポリシーを現状通りとなるよう設定します。

    WINDOWS Server 2008 で LDAP 署名を有効にする方法
    https://support.microsoft.com/ja-jp/help/935834/how-to-enable-ldap-signing-in-windows-server-2008

    LdapEnforceChannelBinding レジストリ エントリの設定による
    SSL/TLS 接続の LDAP 認証の安全性の向上

    https://support.microsoft.com/ja-jp/help/4034879

    もしくは、WindowsUpdateの当該修正を適用しないことで、現状のままの運用が可能です。

    ≪メリット≫
    • 現状の運用を変更することなく、Logstorageをお使いいただけます
    ≪デメリット≫
    • マイクロソフト社が推奨するセキュリティ基準を満たさない環境での運用となります

    4.4 LogstorageのLDAP/AD設定の認証方式、及び同期方式を変更する

    Logstorageに管理者グループに所属するユーザでログインし、「コンソールサーバ設定」から、「ユーザ認証」を表示します。

    以下のマイクロソフト社のアナウンスをご参照いただき、ADドメインコントローラー側のポリシーを現状通りとなるよう設定します。
    「LDAP/AD設定」の「基本設定」→「認証方式」が「KERBEROS認証」以外である場合は、「KERBEROS認証」を設定し、その他の設定項目を適切に設定します。
    さらに、「同期機能を有効」を「無効」(チェックがない状態)に変更し、設定を保存することで、ActiveDirectoryのLDAP署名、並びにLDAPチャネルバインディングの設定変更の影響を受けることなく、運用が可能となります。

    ≪メリット≫
    • マイクロソフト社の推奨するセキュリティ基準に則った暗号化処理を実施した認証処理が可能となります
    • 現状のユーザ運用を変更することなく、Logstorageをご利用いただけます
    ≪デメリット≫
    • 「KERBEROS認証」以外を用いて、LDAP/AD認証を行っている環境では、設定変更に伴う追加設定が必要となります

    5. お問い合せ先

    本件についてのお問い合わせは、Logstorageサポート窓口までご連絡ください。
    Logstorageサポート窓口につきましては、下記のURLをご確認ください。
    https://www.logstorage.com/support/support.html

    弊社からは、マイクロソフト社製品を含む他社製品に関する設定の変更等について、十分な回答を致しかねる場合がございますので、その点は予めご了承ください。

    6. 関連情報

    [AD管理者向け] 2020 年 LDAP 署名と LDAP チャネルバインディングが有効化。確認を!
    https://msrc-blog.microsoft.com/2019/10/02/ldapbinding/

    Windows の 2020 年 LDAP 署名と LDAP チャネル バインディングの要件
    https://support.microsoft.com/ja-jp/help/4520412/2020-ldap-channel-binding-and-ldap-signing-requirement-for-windows

    ADV190023 | LDAP チャネル バインディングと LDAP 署名を有効にするための
    マイクロソフト ガイダンス

    https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV190023

    WINDOWS Server 2008 で LDAP 署名を有効にする方法
    https://support.microsoft.com/ja-jp/help/935834/how-to-enable-ldap-signing-in-windows-server-2008

    LdapEnforceChannelBinding レジストリ エントリの設定による
    SSL/TLS 接続の LDAP 認証の安全性の向上

    https://support.microsoft.com/ja-jp/help/4034879