Active Directory環境でのLDAP署名、LDAPチャネルバインディングの有効化(ADV190023)に伴う影響について
2020年2月19日
コニカミノルタジャパン株式会社
平素はコニカミノルタ製品をご愛用いただき、誠にありがとうございます。
2020年後半にマイクロソフト社が公開予定のWindowsセキュリティ更新プログラムにて、Active Directory環境内のLDAP通信の安全性を向上するために、LDAP署名、およびLDAPチャネルバインディング(LDAPS使用時)を規定で有効化するとの情報がアナウンスされております。
当初は2020年3月の予定でしたが、その後2020年2月4日にマイクロソフト社から2020年の後半に延期すること、あわせて、2020年3月に本件の機能を事前に無効化できる設定を追加するとアナウンスされました。
マイクロソフト社からの情報
- [AD管理者向け] 2020年LDAP署名とLDAPチャネルバインディングが有効化。確認を!
https://msrc-blog.microsoft.com/2019/10/02/ldapbinding/
- ADV190023 | LDAPチャネルバインディングとLDAP署名を有効にするためのマイクロソフトガイダンス
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/adv190023
コニカミノルタでは、本件に関する情報機器製品への影響の確認を進めておりますが、本件の機能が有効化されると情報機器製品のLDAP連携機能が一部動作しなくなることが確認されています。下記影響の内容をご確認いただき、回避策の適用をお願いします。引き続き確認を行い、情報のアップデートがあり次第、情報を更新させていただきます。
対象製品のLDAP連携機能への影響
1.以下の設定で外部サーバー認証を使用時に、コントロールパネル、またはプリンタードライバーからのユーザー名、パスワード入力での認証が失敗します。
- サーバータイプ:Active Directory
- サーバータイプ:LDAP(SSL/TLS有効かつ認証方式がSimple以外)
2.以下の機能でSSL / TLS有効かつ認証方式がGSS-SPNEGO以外の場合に、認証が失敗します。
- LDAP-ICカード認証
- プリント簡易認証
- LDAPアドレス検索
回避策
1.外部サーバー認証のサーバータイプがActive Directoryの場合、MFP側の回避策はございません。対策ファームウェアが提供されるまで、ドメインコントローラー側でマイクロソフト社が3月に提供する予定の事前に機能を無効化する設定を行い、LDAP署名が有効にならないように準備をお願いします。設定の具体的な手順についてはマイクロソフト社からの情報をお待ちください。
外部サーバータイプがLDAPの場合、サーバー側がLDAPSに対応していれば、MFP側でSSL / TLS有効かつ認証方式をSimpleに設定をお願いします。
2.サーバー側がLDAPSに対応している場合、MFP側でSSL / TLSを有効かつ認証方式としてGSS-SPNEGOの設定をお願いします。