Remove From My Forums

LDAP署名とLDAPチャネルバインディングの設定について

質問
0

サインインして投票

2020年1月に公開されるWindowsセキュリティ更新にて、LDAP署名、LDAPチャネルバインディングの設定が規定で有効になる件について、内部通信の影響確認を行っておりますが、LDAP署名、LDAPチャネルバインディングの概要についてご教示ください。

イメージとしては、LDAP署名を有効とする環境では、LDAPクライアントがLDAP通信に署名を付与する形になり、AD(ドメインコントローラー)側は署名付き通信のみを受け付けるイメージになると考えており、ドメインコントローラー側はあくまでLDAP通信において署名を必須とするかどうかを受け皿として設定されているだけで、LDAP署名付き通信を実施するかどうかはLDAPクライアント側に依存している認識で良いでしょうか。

同じくLDAPチャネルバインディングにつきましても、LDAPS利用環境に限定される前提はありますが、イメージはLDAP署名と同様に、LDAPクライアントがchannel binding tokens (CBT) を提供するようになり、AD(ドメインコントローラー)側はchannel binding tokens (CBT) を提供する通信のみ許可する、というイメージでおりますが、相違ないでしょうか。

2019年11月25日 3:30

返信

|

引用

回答

1

サインインして投票
チャブーンです。

この件ですが、実はMSDN側でより詳細な情報が出ていて、CBTに関しては「クライアント依存」ということで、直接の影響はない、ということのようです。以下に詳細な情報が出ていますので、確認してください。

https://social.msdn.microsoft.com/Forums/ja-JP/9f95c314-4236-483c-9e66-7184b02f117b/124751246112517125221248612451-124501248912496124521247012522?forum=visualstudiosupportteamja
フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点をご一読のうえ、お楽しみください。
- 回答の候補に設定 flingminMicrosoft contingent staff, Moderator 2019年12月2日 7:42
- 回答としてマーク Satoshi0131 2020年1月9日 8:36
2019年11月29日 6:41

返信

|

引用

モデレータ

すべての返信

0

サインインして投票
チャブーンです。

この件ですが、まずは前提知識として、したのページの情報確認が必要かと思います。

https://msrc-blog.microsoft.com/2019/10/02/ldapbinding/

上記の説明をみると、「LDAP 署名、およびLDAP チャネルバインディングの必須」に読めそうです。以前からある機能の有効化のため、GPO等を変更すればいいのですが、サードパーティのLDAPクライアントがいる場合、動作確認・設定変更が必要だと思います。

~~なおCBTはLDASしか問題になりませんが、設定した場合、Windowsクライアント側の設定変更が必要になると思います。~~CBTはクライアントからの「申請」ベースで動作するので、サーバー側設定には依存しないそうです。ですが、有効化したい場合、やりかたはしたのページを確認してください。

https://blogs.technet.microsoft.com/askds/2009/12/10/control-extended-protection-for-authentication-using-security-policy/

フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点をご一読のうえ、お楽しみください。
- 回答の候補に設定 flingminMicrosoft contingent staff, Moderator 2019年11月29日 6:11
- 編集済みチャブーンMVP, Moderator 2019年11月29日 6:45
2019年11月25日 5:54

返信

|

引用

モデレータ
0

サインインして投票

フォーラムにご投稿くださいましてありがとうございます。

チャブーンさんから寄せられた投稿はお役に立ちましたか。

参考になった投稿には「回答としてマーク」をご設定ください。

ご不明な点がございましたら、お気軽にお問い合わせください。

Fan
Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

2019年11月29日 6:10

返信

|

引用

モデレータ
1

サインインして投票
チャブーンです。

この件ですが、実はMSDN側でより詳細な情報が出ていて、CBTに関しては「クライアント依存」ということで、直接の影響はない、ということのようです。以下に詳細な情報が出ていますので、確認してください。

https://social.msdn.microsoft.com/Forums/ja-JP/9f95c314-4236-483c-9e66-7184b02f117b/124751246112517125221248612451-124501248912496124521247012522?forum=visualstudiosupportteamja
フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点をご一読のうえ、お楽しみください。
- 回答の候補に設定 flingminMicrosoft contingent staff, Moderator 2019年12月2日 7:42
- 回答としてマーク Satoshi0131 2020年1月9日 8:36
2019年11月29日 6:41

返信

|

引用

モデレータ
0

サインインして投票
横槍の質問ですいません。 2020年LDAP署名とLDAPチャンネルバインディングの有効化のパッチ適用の影響についての質問です。

https://msrc-blog.microsoft.com/2019/10/02/ldapbinding/

上記のパッチの適用でLDAP(TCP PORT 389)の動きというのは無効になるのかという質問です。その場合、LDAPS(TCP PORT 636)がデフォルトの動きになるのではと察します。無効になった場合の対処方法ですとかご教授していただければ幸いです。
- 編集済み Szczecinski 2019年12月17日 3:49
2019年12月17日 3:44

返信

|

引用
0

サインインして投票

チャブーンです。

この件ですが、きちんと資料を読めばわかりますが、LDAPSがデフォルトになる、といったことはありません。LDAPの署名とLDAPS証明書は、全くの別物(別概念)であり、署名を必須化してもLDAPSを強制化することは、技術的に不可能です。
フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点をご一読のうえ、お楽しみください。

2019年12月17日 4:14

返信

|

引用

モデレータ

製品

Resources

Solutions

更新プログラム

評価版

関連サイト

トレーニング

認定資格

その他のリソース

製品別サポート

その他のサポート

IT 担当者以外の方へ

トップ回答者

LDAP署名とLDAPチャネルバインディングの設定について

質問

回答

すべての返信