none
LDAP署名あり/なしの併用について RRS feed

  • 質問

  • 以下記事によると、2020年下半期にLDAP署名およびLDAPチャネルバインディングを既定で有効化させる更新プログラムが配布されるようです。

    https://msrc-blog.microsoft.com/2019/10/02/ldapbinding/



    現在社内にて運用中のシステムには、LDAP署名ありでの認証はサポートしていないものもあります。

    Active Directoryの仕様的に可能であれば、システムによってLDAP署名あり/なしを使い分ける構成としたいと考えております。

    そのような設定がそもそも可能なのか、可能な場合は詳細な設定方法についてご教示いただけないでしょうか。


    2020年6月23日 3:03

回答

  • チャブーンです。

    この件ですが、おっしゃる内容はLDAP署名を「強制」するもので、選択するものではありません。したがって強制なしとの共存はリクツ的に想定されていません。

    https://msrc-blog.microsoft.com/2019/10/02/ldapbinding/

    ちなみにこの資料をよくみると、LDAP署名を問答無用に強制するのではなく、「グループポリシーによる一括設定」と「強制後のモニタリング」が行えるようになった、ということです。

    グループポリシーによる設定変更は「レジストリ」による設定で、1台ずつ個別に設定することは可能です。つまりレジストリ設定により、LDAP署名を強制する・しないドメインコントローラーを分けること自体はできるでしょう。ですが以下の理由によりお奨めはしません。

    理由は単純で、メンバーサーバーやクライアントは基本的にログオンするドメインコントローラーを明示指定できないためです。ネットワーク設定や接続状況によりログオン先ドメインコントローラーは変更されるため、設定が異なる場合、不測のエラーが発生する可能性が高いでしょう。LDAP署名対応の有無を検出して回避する方法はありませんので、このようなエラーが発生した場合、甘受するしか選択がありません。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2020年6月23日 3:23
    モデレータ

すべての返信

  • チャブーンです。

    この件ですが、おっしゃる内容はLDAP署名を「強制」するもので、選択するものではありません。したがって強制なしとの共存はリクツ的に想定されていません。

    https://msrc-blog.microsoft.com/2019/10/02/ldapbinding/

    ちなみにこの資料をよくみると、LDAP署名を問答無用に強制するのではなく、「グループポリシーによる一括設定」と「強制後のモニタリング」が行えるようになった、ということです。

    グループポリシーによる設定変更は「レジストリ」による設定で、1台ずつ個別に設定することは可能です。つまりレジストリ設定により、LDAP署名を強制する・しないドメインコントローラーを分けること自体はできるでしょう。ですが以下の理由によりお奨めはしません。

    理由は単純で、メンバーサーバーやクライアントは基本的にログオンするドメインコントローラーを明示指定できないためです。ネットワーク設定や接続状況によりログオン先ドメインコントローラーは変更されるため、設定が異なる場合、不測のエラーが発生する可能性が高いでしょう。LDAP署名対応の有無を検出して回避する方法はありませんので、このようなエラーが発生した場合、甘受するしか選択がありません。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2020年6月23日 3:23
    モデレータ
  • フォーラムにご投稿くださいましてありがとうございます。

    この後の状況はいかがでしょうか。

    同じ問題を持っている人々に役に立つために参考になった投稿には「回答としてマーク」をご設定ください

    ご不明な点がございましたら、お気軽にお問い合わせください

     

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年6月26日 2:27
    モデレータ