メインコンテンツまでスキップ

Microsoft Security Advisory : ADV190023 Impact on NetApp applies running CIFS/NFS applies Microsoft Active Directory LDAP servers (英語

  1. 最後の更新
  2. PDFとして保存
Views:
824
Visibility:
Public
Votes:
2
Category:
ontap-9
Specialty:
nas
Last Updated:

すべてのとおり  

環境

  • ONTAP 9
  • CIFS
  • NFS
  • STARTTLS
  • LDAPS

回答

ADV 190023 は ONTAP にどのような影響を与えますか。

予想される 2 つの変更点は次のとおりです。 

  • 変更 1 : LDAPEnforceChannelBinding レジストリエントリを使用して、 SSL/TLS 経由の LDAP 認証のセキュリティを強化します 
  • 変更 2 :「メインコントローラ: LDAP サーバの署名要件」を「要署名」に設定 

 

変更 1: LdapEnforceChannelBindingレジストリエントリを使用して、SSL/TLS経由のLDAP認証のセキュリティを強化する  

何が変わるのでしょうか?  

  • LDAP チャネルバインディング = 1 (更新後)  

AD - HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters   

ADLDS - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Parameters   

値: 1 は有効(サポートされている場合)を示します。   

  • DWORD 値: 0無効を示します。チャネルバインディングの検証は実行されません。これは、更新されていないすべてのサーバの動作です。  

  • DWORD 値: 1 は、サポートされている場合は有効を示します。CBT (チャネルバインディングトークン)をサポートするように更新された Windows のバージョンで実行されているすべてのクライアントは、サーバにチャネルバインディング情報を提供する必要があります。 
    CBT をサポートするために更新されていないバージョンの Windows を実行しているクライアントは、更新する必要はありません。 
    これは、アプリケーションの互換性を確保するための中間的なオプションです。  

  • DWORD 値: 2 は常に有効であることを示します。すべてのクライアントは、チャネルバインディング情報を提供する必要があります。サーバは、クライアントからの認証要求を拒否します。  

警告:    1136213のサポートが実装されるまで、LdapEnforceChannelBindingにはEnforce DWORD値2を使用しないでください。   

 

  デフォルト設定の値1を使用(有効)すると、ONTAPは引き続きドメインコントローラと通信しますが、影響はありません。   

[2020 年 3 月 10 日以降、ドメイン コントローラ: LDAP サーバチャネルバインドトークン要件 グループポリシーが必要です。 ]

:手動で DWORD 値 2 ( Enabled 、 Always )を設定すると、 LDAPS または TLS が有効になっている場合に、 ONTAP が LDAP 経由でドメインコントローラと通信できなくなります。 

ONTAP の互換性を[1]確保するには、 1136213 のサポートが実装されるまで Enforce DWORD 値 2 を使用しないでください。   

変更 2 :「メインコントローラ: LDAP サーバの署名要件」を「要署名」に設定  
  • このオプションは、 Active Directory ドメインコントローラを使用している既存または新規の CIFS サーバ導入環境または LDAP クライアント設定に影響します。   

  何が変わるのでしょうか?  

LDAP サーバ署名の要件  

 このセキュリティ設定では、 LDAP サーバが LDAP クライアントとのネゴシエートに署名を必要とするかどうかを次のように決定します。  

  •  none :サーバにバインドするためにデータ署名は必要ありません。クライアントがデータ署名を要求した場合、サーバはその署名をサポートします。  

  • 署名が必要: TLS\SSL を使用しない場合は、 LDAP データ署名オプションをネゴシエートする必要があります。  

LDAP 署名グループポリシー:変更にダウンタイムは不要です    

ADV190023 をインストールすると両方の設定(定義されていない設定も含む)に署名が必要になります。   

レジストリ値を 0 (オフ)に設定するだけで、 [ 署名を要求 ] の強制が無効になります。  

   ( マイクロソフトでは、これを推奨していません ) : 

つまり、レジストリの値が「 0 」の場合は「 off 」を意味し、これは、更新によって設定が変更されず、署名が必要ないことを意味します。    

DC: HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters  --> LDAPServerIntegrity = 0  

Change 2 で LDAP 署名または封印を使用するように ONTAP を設定する方法
よくある質問
Q :この記事に記載されている手順に問題がありましたか?どうすればよいですか?  
Q : LDAP チャネルバインドの値は、 PATCH 後はデフォルト値の 1 に設定されるようになっているので、 ONTAP で変更を加える必要はありますか?
  • 値が 1 に保持され、 2 に設定されていない限り、 LDAP チャネルトークンは必要ありません。 ONTAP は引き続き LDAP と通信します。 
  • 1136213 が実装されると、 ONTAP は LDAP チャネルバインディングトークンを正式にサポートできます。   
Q : LDAP サーバの整合性(署名)はパッチの適用後に有効に設定されますが、 ONTAP で変更を行う必要はありますか?  
  • はい。LDAP 署名またはシールを使用するように CIFS サーバと LDAP クライアントを設定します。上記の情報には、これらのオプションの設定方法と確認方法に関するサンプルワークフローが含まれています。システムを停止することなく実行でき、 Microsoft の変更を更新する前に設定することを推奨します。現在 LDAP の Start TLS または LDAPS を使用している場合、 SVM の設定を変更する必要はありません。
質問: SVM ですでに LDAP startTLS を使用していますが、 LDAP サーバの整合性(署名)に関して ONTAP を変更する必要がありますか。
  • デスティネーションこの要件は、 TLS\SSL 以外の接続にのみ適用されます。
Q :すでに LDAPS を使用しているため、 LDAP サーバの整合性(署名)に関して ONTAP に変更を加える必要がありますか。
Q :サポート対象外のバージョンの ONTAP を使用しています。どのようなオプションがありますか?
  • サポート対象のONTAPバージョンへのアップグレード
  • 回避策:Microsoftに問い合わせてセキュリティ設定を削除し、レガシークライアントを有効にしてください。
Q : 7-Mode ONTAP を使用しています。変更を行う必要がありますか?  
  • この記事は、 ONTAP ( clustered Data ONTAP )専用です。ただし、 2 つの変更点については、 ADV190023 では 7 モードで次の処理が行われます。  
    • 変更 1 : LDAP チャネルバインディングのサポートについては、この機能を 7 モードで実装する予定はありません。(デフォルト設定値 1 を使用する場合(有効)、 7 Mode ONTAP も影響を与えずにドメインコントローラとの通信を継続します)。 
    • 変更 2 : LDAP 署名は自動的に有効になり、 LDAP サーバの整合性(署名)設定のために 7 モードで変更する必要はありません。
Q : Microsoft の更新後、 LDAP サーバの整合性(署名)を無効に戻します。どうすればよいですか?
Q :どの ONTAP コマンドに影響しますか。
  • 次のようなコマンドでは LDAP が使用され、この更新によって影響が生じます。(完全なリストではありません) 

::> vserver cifs create|delete|modify
::> vserver services name-service ldap create
::> vserver services access-check authentication show-creds  
::> vserver active-directory create|delete|modify
::> vserver cifs group-policy update
::> secd authentication get-dc-info
::> vserver cifs domain discovered-servers reset-servers
::> secd connections test
 

Q : Microsoft では、クライアントにこの LDAP 署名を設定するよう求めています。 ONTAP にはどのような同等の値がありますか。ONTAP では、 Windows クライアントを変更して、静止状態にする必要がありますか。
  • 上記の KB の設定およびコマンドは、 ONTAP でこれらの値を設定する方法です。
質問: CIFS の運用に影響を与えずに、 LDAP の署名や封印を今すぐ変更できますか。
  • 次のコマンドを使用して、 ONTAP LDAP クライアントセッションセキュリティを「 sign 」または「 seal 」に設定します。 
  1. ::> vserver services name-service ldap client modify -session-security
  2. ::> vserver cifs security modify -session-security-for-ad-ldap 
    • このオプションを設定すると、中断のない動作になることが予想されます。 
  • 既存の CIFS/NFS 接続は、この変更の影響を受けません。接続されたセッションはキャッシュされ、確立後は LDAP は必要ありません。 
  • 次の LDAP バインドでは、 ONTAP は署名または封印のいずれかを使用します。設定オプションは、 LDAP 操作に無停止である必要があります。 
  • これらの設定は、 LDAP の変更の前に [ 署名が必要 ] で適切に設定できます。 
    • ただし、 LDAP 環境でグローバルなセキュリティが変更される可能性がある場合と同様に、お客様の環境によっては適切なテストと検証が推奨されます。
Q :この問題に関する詳しい情報はどこで入手できますか。また、この影響をよりよく理解するために、他の情報源を参照できますか。
Q : ADV 190023 への対応を維持するために ONTAP で行う必要のある最小限の変更点は何ですか。
  • パッチ適用後に予想されるデフォルトが展開されている場合は、次のコマンドを使用して、 ONTAP LDAP クライアントセッションセキュリティを「 sign 」に設定します。 

::> vserver services name-service ldap client modify -session-security sign 
::> vserver cifs security modify -session-security-for-ad-ldap sign 

  • CIFS サーバまたは LDAP クライアントのどちらに設定するかによって、次のようになります。  
    • 最小要件は署名です。シーリング、 LDAPS 、 STARTTLS はすべて最小要件を超えており、追加の設定手順( IE )自己署名 CA 証明書が必要になる場合があります。 
Q : vserver に対する -session-security の出力に「–」が表示されているか、または空白になっています。どういう意味ですか?
  • Dash または Blank のデフォルト値は None です。場合によっては、これらのオプションがまだ存在しない、 9 より前のバージョン以降に存在していた Vserver が、アップグレード後にこれらの値として表示されることがあります。パッチに準拠するには、この KB の推奨事項に従ってください。
Q : LDAP の封印を使用すると、 LDAP の監査で SVM のイベント情報が報告されます。
Q : LDAP の署名と封印に関するネットアップの推奨事項は何ですか?
  • LDAP 署名を使用することを推奨します。 
Q :この KB のリンクをすべて読みましたが、 LDAPS 、署名と封印、 startTLS の違いは何ですか。

次のリンクを参照して、違いを説明してください。 

  • LDAP 署名と封印(ポート 389 経由) ONTAP 9.0 以降 

    • 署名は、秘密鍵テクノロジを使用して LDAP ペイロードデータの整合性を確認します。封印は、LDAPペイロード データを暗号化して機密情報がクリア テキストで送信されないようにします。LDAP セキュリティレベルオプションは、 LDAP トラフィックに署名、署名、および封印を行う必要があるかどうかを示します。デフォルトは none です。(詳細情報:『 LDAP Si Gning and 封印の概念と NFS ガイド』) 

  • 自己署名ルート CA 証明書が必要です 

    • LDAP over TLS (ポート 389 経由) ONTAP 8.2.1 以降(詳細情報: LDAP over TLS の概念)  

    • LDAPS (ポート 636 経由) ONTAP 9.5+ (詳細情報: LDAP の使用)  

Q : LDAP の署名と封印が使用されていることを確認するにはどうすればよいですか?
  • 確認方法については、ネットアップテクニカルサポートにお問い合わせください。
Q : LDAP チャネルバインドをサポートする前に、すべてのオプションと想定される動作を説明するグラフはありますか。
  • はい。 LDAP の動作については、以下の表を参照してください。
ラベル 対応する CIFS セキュリティオプション
署名 session-security-for-ad-ldap 署名です
シーリング session-security-for-ad-ldap seal を指定します
STARTTLS start-tls-for-ad-ldap true を使用します
LDAPS -ldaps-for-ad-ldap true を使用します
LDAP 設定 W/ チャネルバインディングが適用されています W/o チャネルバインディングが適用されています
デフォルト設定は、新しい SVM です 成功 成功
署名のみ 成功 成功
シーリングのみ 成功 成功
StartTLSのみ で障害が発生した場合 成功
LDAPSのみ で障害が発生した場合 成功
署名 + StartTLS で障害が発生した場合 成功
署名 + LDAPS で障害が発生した場合 成功
封印 + StartTLS で障害が発生した場合 成功
シーリング + LDAPS で障害が発生した場合 成功

 

Q :このドキュメントは、 Active IQ システムリスク検出機能を備えているため、お読みになっています。
  • ™ストレージシステムで AutoSupport を有効[3]にしたお客様には、 Active IQ ポータルで、お客様レベルとサイトレベル、システムレベルで詳細なシステムリスクレポートを提供します。レポートには、特定のリスクを持つシステム、重大度レベル、および軽減アクションプランが示されますこれらのアラートのいずれかの結果として、この記事を読んでいる可能性があります。システム上の CIFS サーバまたは LDAP クライアント設定でセキュリティ保護されていない LDAP 設定が検出された場合は、この記事全体を参照して、 ADV190023 を適用した場合の問題の軽減方法に関するベストプラクティスの推奨事項を確認してください。 

追加情報

 

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.