マイクロソフトセキュリティーアドバイザリー ADV190023 | LDAP チャネルバインディングおよび RHEL および AD 統合の LDAP 署名

更新 -

このアーティクルでは、 Active Directory ドメインに直接登録している Red Hat Enterprise Linux システムまたは、Red Hat Enterprise Linux のアイデンティティー管理が提供するレルムと、Active Directory が提供するレルムの間で確立された Kerberos トラストを使用する Red Hat Enterprise Linux システムに対して、Microsoft Advisory ADV190023 が与える影響について説明します。このアドバイザリーは、LDAP チャネルバインディングLDAP 署名 の安全でない設定を使用するクライアントに対して、追加でロギングを提供します。

重要: Microsoft は、2020 年 3 月のアドバイザリーで、アップデートでは当面、LDAP 署名または LDAP チャネルバインディングポリシー、新規または既存のドメインコントローラー上の同等のレジストリーは変更されないことを発表しました。

Red Hat は、さまざなシナリオで Active Directory Domain Service のドメイン 2016 で LDAP チャネルバインディングと LDAP 署名を有効にして検証し、Red Hat Enterprise Linux 6、7 および 8 クライアントシステムの機能に影響がないことを確認しました。弊社では、以下のシナリオを使用してテストして、想定通りに機能することを確認しました。

  • IdM/AD 全体のフォレストのトラスト
  • SSSD を id_provider=ad に指定した AD クライアントとして Red Hat Enterprise Linux マシンを直接統合
  • SSSD を id_provider=ldap に指定した AD クライアントとして Red Hat Enterprise Linux マシンを直接統合
  • client ldap sasl wrapping = sign のデフォルトオプションを使用して samba/winbind を指定した AD クライアントとして Red Hat Enterprise Linux マシンを直接統合Samba では現在、チャネルバインディングをサポートしていません。そのため、smb.conf で ldap ssl ads = yes を使用している場合には、チャネルバインディングを有効にしないことを推奨します。詳細は、「samba バグレポート」を参照してください。

Active Directory と直接統合/関節統合に SSSD を使用する場合には、デフォルト設定ではデフォルトの LDAP ポート 389 で SASL GSSAPI または SASL GSS-SPNEGO を使用し、通信パスを暗号化して確立します。クライアントが SASL GSSAPI を使用して Active Directory ドメインコントローラーと通信する場合に ID 2889 のログイベントが作成されるにも拘らず、操作自体は成功する問題を、Microsoft の実装で特定しました。これについては現在調査中です。 Active Directory で誤検知のログイベントを回避するには、GSS-SPNEGO をサポートするクライアントアプリケーションを、GSSAPI ではなくこの SASL メカニズムを使用するように設定してください。SSSD では、ldap_sasl_mech の設定オプションがあり、使用する SASL メカニズムを定義できます。

Red Hat は、SSSD の Active Directory プロバイダーで ldaps プロトコルを使用できるように、SSSD/adcli (RHEL8RHEL7) の機能拡張に努めています。この設定タイプはオプションで、デフォルトの LDAP ポート 389 が閉じられている環境でのみ必要です。 ただし、一般的にはデフォルトの LDAP ポート 389 を閉じることは推奨していません。理由は、SSL/TLS でのチャネルバインディングが AD 側で有効であるにも拘らず、クライアント側でまだサポートされていない場合に、問題が発生する可能性があるためです。 また、前述の RFE では、adcli のデフォルトの SASL メカニズムとして GSS-SPNEGO を設定します。現在、GSSAPI は adcli でハードコード化されており、変更できません。クライアントシステムが直接登録されている場合には、SSSD は adcli ツールを使用して、Active Directory でのマシンの認証情報を更新します。

注記: この情報は暫定的で、改訂される可能性があります。 このアーティクルは、長期間にわたり、常に更新、記述されており、変更される可能性があります。