メインコンテンツへスキップ

Microsoftセキュリティアドバイザリ:ADV190023がMicrosoft Active Directory LDAPサーバを利用してCIFS\NFSを実行しているNetAppアプライアンスに与える影響

  1. 最後の更新
  2. PDFとして保存
Views:
980
Visibility:
Public
Votes:
2
Category:
ontap-9
Specialty:
nas
Last Updated:

 

環境

  • ONTAP 9
  • CIFS
  • NFS
  • StartTLS
  • LDAPS

回答

ADV190023[1]はONTAPにどのような影響がありますか?

これらは予想される2つの変更です 

  • 変更 1: LdapEnforceChannelBinding レジストリエントリを使用して、SSL/TLS 経由の LDAP認証をより安全にします
  • 変更 2: 「Domain controller: LDAPサーバ signing requirements」を「Require Signing」に設定します 

 

Change 1:LdapEnforceChannelBinding レジストリエントリを使用して、SSL/TLS 経由のLDAP認証をより安全にします  

何が変わりますか?  

  • LDAPチャネルバインド = 1(更新後)  

AD - HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters   

ADLDS - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Parameters   

値:1有効を示します(サポートされている場合)。   

  • DWORD値:0disabledを示します。チャネルバインディングの検証は実行されません。これは、更新されていないすべてのサーバの動作です。  

  • DWORD値:1有効(サポートされている場合)を示します。チャネルバインディングトークン(CBT)をサポートするように更新されたバージョンのWindowsで実行されているすべてのクライアントは、チャネルバインディング情報をサーバーに提供する必要があります。 
    CBTをサポートするように更新されていないバージョンのWindowsを実行しているクライアントは、その必要はありません。 
    これは、アプリケーションの互換性を考慮した中間的なオプションです。  

  • DWORD値:2enabledalwaysを示します。すべてのクライアントはチャネルバインディング情報を提供する必要があります。サーバはそれを行わないクライアントからの認証要求を拒否します。  

警告: enforce DWORD値2 LdapEnforceChannelBindingに使用しないでください。1136213のサポートが実装されるまで。   

 

  デフォルト設定の1が使用(有効)の場合、ONTAPは影響を受けずにドメインコントローラとの通信を継続します。   

[2020年3月10日以降のMSアップデート後、Domain controller: LDAPサーバ チャネルバインドトークンの要件グループポリシーが存在する必要があります。]

注:手動でDWORD値2有効、常に)を設定すると、LDAPSまたはTLSが有効な場合、ONTAPがLDAP経由でドメインコントローラと通信できなくなります。 

ONTAP互換性のために、強制を使用しないでください DWORD値2 のサポートが1136213 実装されるまで。   

変更 2: 「Domain controller: LDAPサーバ signing requirements」を「Require Signing」に設定  
  • このオプションは、active-directoryドメインコントローラを利用している既存または新規のCIFSサーバ展開やLDAPクライアント構成に影響します。   

  何が変わりますか?  

  • LDAPサーバの整合性(署名)= デフォルトで有効(更新後)  

LDAPサーバ署名要件  

 このセキュリティ設定は、LDAPサーバがLDAPクライアントとの間で署名のネゴシエートを要求するかどうかを次のように決定します:  

  •  None: サーバとバインドするためにデータ署名は必要ありません。クライアントがデータ署名を要求した場合、サーバはそれをサポートします。  

  • 署名が必要: TLS\SSLが使用されていない限り、LDAPデータ署名オプションはネゴシエートする必要があります。  

LDAP署名グループポリシー-変更にダウンタイムなし   

インストール後 ADV190023 両方の設定(NoneおよびNot Defined)でRequire Signatureが強制されます。   

レジストリ値を0(OFF)に設定することで、Require Signatureの適用が無効になります。  

  (Microsoftはこれを推奨していません): 

これは、レジストリの"0"の値が"OFF"を意味し、また、更新プログラムによって設定が変更されず、Require Signingが強制されないことも意味します。   

DC: HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters  --> LDAPServerIntegrity = 0  

変更2でLDAP SigningまたはSealingを使用するようにONTAPを設定する方法
よくある質問
Q:LDAPの署名または封印を有効にすると、既存のSMBクライアントに影響しますか? 

  • ADV190023は、ONTAP CIFS/SMBサーバとドメインコントローラ間の通信のみを対象としています。

  • ONTAP CIFSから(フロントエンド)クライアントへの通信には影響はありません。
     

Q: この記事に記載されている手順で問題が発生しましたか?どうすればよいですか?  
Q:パッチ適用後、LDAPチャネルバインディングの値がデフォルト値の1に設定されるはずですが、ONTAPで何か変更を加える必要がありますか?
  • 値が1のままで2に設定されていなければ、LDAPチャネルトークンは不要で、ONTAPは引き続きLDAPと通信します。
  • 一度1136213が実装されると、ONTAPは正式にLDAPチャネルバインディングトークンをサポートできるようになります。   
Q: パッチ適用後にLDAPサーバの整合性(署名)が有効に設定されますが、ONTAPで何か変更を行う必要がありますか?  
  • はい.cifsサーバまたはLDAPクライアントをldap署名または封印を使用するように設定します。上記の情報には、これらのオプションの設定方法および確認方法のサンプルワークフローが含まれています。これらは無停止で実行でき、Microsoftの変更を更新する前に設定することを推奨します.現在LDAP Start TLSまたはLDAPSを利用している場合、vserver構成に変更を加える必要はありません。
Q: すでにvserversでLDAP StartTLSを使用している場合、LDAPサーバの整合性(署名)に関してONTAPで何か変更を加える必要がありますか。
  • いいえ。この要件は、TLS\SSL以外の接続に対してのみ適用されます。
Q: すでにLDAPSをvserversで使用している場合、LDAPサーバの整合性(署名)に関してONTAPで何か変更を加える必要がありますか?
Q: サポートされていないバージョンのONTAPを使用しています。どのようなオプションがありますか?
  • サポートされている ONTAP バージョンにアップグレードする
  • 回避策: Microsoft に問い合わせて、レガシクライアントを有効にするためのセキュリティ設定を削除してください。
Q: 7mode ONTAPを使用していますが、変更を加える必要がありますか?  
  • この記事は、ONTAP(Clustered Data ONTAP)のみを対象としています。ただし、ADV190023が行う2つの変更について、7modeに関しては:  
    • 変更1:LDAPチャネルバインディングのサポートについては、この機能を7modeに実装する予定はありません。(デフォルト設定の値1が使用(有効)されている場合、7mode ONTAPも影響を受けずにドメインコントローラと通信を継続します。)
    • 変更2:LDAP署名は自動的に有効になり、LDAPサーバの整合性(署名)設定について7modeで変更は必要ありません。
Q: Microsoftの更新後、LDAPサーバの整合性(署名)を無効に戻したい場合、どうすればよいですか?
Q:どのONTAPコマンドが影響を受けますか?
  • 次のようなコマンドはLDAPを使用しており、この更新の影響を受けます(すべてのリストではありません) 

::> vserver cifs create|delete|modify
::> vserver services name-service ldap create
::> vserver services access-check authentication show-creds  
::> vserver active-directory create|delete|modify
::> vserver cifs group-policy update
::> secd authentication get-dc-info
::> vserver cifs domain discovered-servers reset-servers
::> secd connections test
 

Q: Microsoftは、クライアントをこのLDAP署名必須に設定するように述べています。ONTAPの同等の値は何ですか?引き続きONTAPを使用するために変更が必要なWindowsクライアントはありますか?
  • 上記のKBの設定とコマンドは、ONTAPでこれらの値を設定する方法です。
Q: CIFSの運用に影響を及ぼさずに、LDAPの署名や封印の変更を今行うことはできますか?
  • 次のコマンドを使用してONTAP LDAPクライアントセッションセキュリティを「sign」または「seal」に設定します 
  1. ::> vserver services name-service ldap client modify -session-security
  2. ::> vserver cifs security modify -session-security-for-ad-ldap 
    • このオプションの設定は、無停止で実行されることが期待されます。 
  • 既存のcifs\nfs接続はこの変更の影響を受けません。接続セッションはキャッシュされ、一度確立されるとLDAPは必要ありません。
  • 次回のLDAPバインド時に、ONTAPは署名または封印のいずれかを使用します。このオプションの設定はLDAP操作に対して中断を引き起こさないことが期待されます。
  • これらは、署名が必要なLDAP変更のかなり前に設定できます。 
    • ただし、LDAP環境でのあらゆるグローバルなセキュリティ変更の可能性と同様に、お客様の環境は異なる場合があるため、適切なテストと検証を推奨します。
Q: この件に関する詳しい情報や、その影響をよりよく理解するために読める別の情報源はどこで手に入りますか?
Q: ONTAPで最小限必要な変更は何ですかADV190023に備え、なおかつコンプライアンスを維持するには
  • パッチ適用後に想定されるデフォルトが展開される場合は、次のコマンドを使用してONTAP LDAPクライアントのセッションセキュリティを「sign」に設定します: 

::> vserver services name-service ldap client modify -session-security sign 
::> vserver cifs security modify -session-security-for-ad-ldap sign 

  • CIFSサーバまたはLDAPクライアントのどちらに対して設定するかに応じて  
    • 最小要件は署名です。封印、LDAPS、StartTLSはいずれも最小要件を超えており、追加の設定手順(例:自己署名CA証明書)が必要になる場合があります。 
Q: -session-securityの出力が自分のvserverで‘ – ‘と表示されるか、空白の場合、それはどういう意味ですか?
  • ダッシュまたは空白の既定値は value: none.一部のケースでは、これらのオプションがまだ存在しなかったバージョン9以前から存在していたvserversが、アップグレード後にこれらの値として表示されることがあります。パッチに準拠するために、このKBの推奨事項に従ってください。
Q:LDAPシーリングが使用されている場合、LDAP監査がeventide 2889sをSVMに対して報告しています。
Q: 今後のLDAPの署名と封印について、NetAppの推奨事項は何ですか。
  • LDAP署名の利用を推奨します。 
Q: このKBのすべてのリンクを読みましたが、LDAPS、署名と封印、startTLSの違い何なのかまだ混乱しています。

以下のリンクを読んで、違いを説明するのに役立ててください: 

  • LDAPの署名と封印(ポート389経由)ONTAP 9.0+ 

    • 署名は、シークレット キー技術を使用してLDAPペイロード データの整合性を確保します。封印は、LDAPペイロード データを暗号化して機密情報がクリア テキストで送信されないようにします。LDAP Security Levelオプションは、LDAPトラフィックに署名が必要か、署名と封印が必要か、またはどちらも不要かを示します。デフォルトは「none」です。(詳細情報:LDAP署名と封印の概念およびNFS Guide) 

  • 自己署名ルートCA証明書が必要 

    • LDAP over TLS(ポート389経由)ONTAP 8.2.1+(more info: LDAP over TLS concepts)  

    • LDAPS(ポート 636 経由)ONTAP 9.5+(詳細:Using LDAP)  

Q: LDAP署名または封印が使用されていることをどのように確認できますか
  • 確認方法については、NetApp Technical Supportにお問い合わせください。
Q:LDAPチャネルバインディングのサポートのすべてのオプションと予想される動作を説明するのに役立つチャートはありますか
  • はい、LDAP処理で想定される動作については、以下の表を参照してください。
ラベル 対応するcifsセキュリティオプション
署名 session-security-for-ad-ldap sign
密封 session-security-for-ad-ldap seal
StartTLS use-start-tls-for-ad-ldap true
LDAPS use-ldaps-for-ad-ldap true
LDAP 設定 w/ チャネルバインディングの適用 チャネルバインディングの強制なし
デフォルト設定、新しいSVM 成功する 成功する
署名のみ 成功する 成功する
シーリングのみ 成功する 成功する
StartTLS のみ で障害が発生した場合 成功する
LDAPSのみ で障害が発生した場合 成功する
署名 + StartTLS で障害が発生した場合 成功する
署名 + LDAPS で障害が発生した場合 成功する
シーリング + StartTLS で障害が発生した場合 成功する
シーリング + LDAPS で障害が発生した場合 成功する

 

Q: あるActive IQシステムリスク検出のためにこのドキュメントを読んでいます
  • ストレージシステムでAutoSupport™を有効にしているお客様には、Active IQポータルで、お客様、サイト、システムレベルの詳細なシステムリスクレポートが提供されます。レポートには、特定のリスクを持つシステム、重大度レベル、軽減アクションプランが表示されます。これらのアラートの1つが原因でこの記事を読んでいる可能性があります。CIFSサーバまたはシステムのLDAPクライアント設定でセキュアでないLDAP設定が検出された場合は、ADV190023を適用した結果生じる問題を軽減するためのベストプラクティスの推奨事項について、この記事を最後までお読みください。 

追加情報

 

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.