勧告: LDAP Active Directory接続

対象バージョン: すべて

対象プラットフォーム: すべて

Microsoft は2020年3月以降、Windows Active Directory(AD) サーバーが暗号化されていない単純バインドを拒否するセキュリティ更新プログラムをリリースする予定です。
Active Directoryの変更の詳細については、Microsoftのセキュリティ勧告 ADV190023 を参照してください。
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV190023

TLS/SSL を使用するように適切に構成されていない場合、ユーザーログインに Windows AD サーバーで LDAP を使用するすべてのインターシステムズ製品のインスタンスは、この影響を受けます。
この影響は、Windows バージョンで実行されているインスタンスに限りません。インスタンスが LDAP 認証を直接実行するか、委任認証メカニズムを介して実行するかにかかわらず、潜在的な影響があります。

既定のセキュリティポリシーで更新された AD サーバーを使用したインターシステムズのテストに基づき、関連する Microsoft パッチを ADサーバーに適用する前に、すべての LDAP AD 接続を TLS/SSL を使用するように構成することをお勧めします。
設定に関する説明については、この勧告の後方にある[注意]を参照してください。

加えて、AD サーバーを更新する前に、これらのADサーバーに接続するすべての Windows サーバーに Microsoft パッチ CVE-2017-8563 をインストールする必要があります。
さもないと、TLS/SSL を使用している場合でも、AD サーバーは Windows サーバーからの接続を拒否します。
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2017-8563

[設定に関する注意]

• LDAP 設定を使用している場合は、 『セキュリティ管理ガイド』の「LDAP の使用」の章で説明されているように、LDAP セッションにTLS/SSL 暗号化を使用するチェックボックスを選択します。
• %SYS.LDAP クラスを使用している場合は、クラスリファレンスの説明に従って StartTLSs() メソッドを呼び出します。 Init() および SetOption() メソッドも関連しています。

LDAP 構成と %SYS.LDAP クラスには、TLS ハンドシェイクで使用される AD サーバーの証明書を検証するために必要なすべての証明書が必要です。これには、認証局のルート証明書や中間証明書が含まれます。
Windows Active Directory 管理者に連絡して、必要な証明書のコピーを取得してください。必要に応じてこれらをインストールします。

• Windows クライアントの場合、Windows ローカルコンピューターの証明書ストアにインストールします。
• Windows 以外のクライアントの場合、インスタンスからアクセス可能なPEM形式のファイルで証明書を用意します。Windows から証明書エクスポートウィザードを使用してエクスポートする場合、「Base-64 encoded X.509」形式を選択します。

証明書の場所の詳細については、 『セキュリティ管理ガイド』の「LDAPの使用」の章を参照してください。
https://irisdocs.intersystems.com/irislatestj/csp/docbook/DocBook.UI.Page.cls?KEY=GCAS_LDAP