マイクロソフトセキュリティアドバイザリ:「ADV190023 impact on NetApp appliance running CIFS\NFS using Microsoft Active Directory LDAP servers」
環境
- ONTAP 9
- CIFS
- NFS
- STARTTLS
- LDAPS
回答
ADV190023はONTAPにどのような影響を与えますか?
想定される変更は次の2つです。
- 変更1: LdapEnforceChannelBindingレジストリエントリを使用して、SSL/TLS経由のLDAP認証のセキュリティを強化する
- 変更2:[Domain controller:LDAP server signing requirements]を[Require Signing]に設定
変更 1: LdapEnforceChannelBindingレジストリエントリを使用して、SSL/TLS経由のLDAP認証のセキュリティを強化する
- このオプションは、LDAP over TLS接続またはLDAPS接続に影響します。この設定に推奨されるWindows更新プログラムは、ONTAP認証には影響しません。
- ONTAPは9.10.1以降でLDAPチャネルバインディングをサポート
何が変わるのでしょうか?
- LDAPチャネルバインド= 1(更新後)
AD - HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
ADLDS - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Parameters
値:1は有効(サポートされている場合)を示します。
DWORD値:0は無効であることを示します。チャネルバインディングの検証は実行されません。これは、更新されていないすべてのサーバの動作です。
DWORD値:1は、サポートされている場合は有効であることを示します。チャネルバインディングトークン(CBT)をサポートするように更新されたWindowsのバージョンで実行されているすべてのクライアントは、チャネルバインディング情報をサーバーに提供する必要があります。
CBTをサポートするように更新されていないバージョンのWindowsを実行しているクライアントは、更新する必要はありません。
これは、アプリケーションの互換性を可能にする中間オプションです。DWORD値:2は常に有効であることを示します。すべてのクライアントがチャネルバインディング情報を提供する必要があります。サーバはクライアントからの認証要求を拒否しますが、そうでない認証要求は拒否されます。
警告: 1136213のサポートが実装されるまで、LdapEnforceChannelBindingにはEnforceDWORD値2を使用しないでください。 |
デフォルト設定の値1を使用(有効)すると、ONTAPは引き続きドメインコントローラと通信しますが、影響はありません。
[2020年3月10日MSアップデート後、ドメインコントローラ: LDAPサーバーチャネルバインディングトークン要件グループポリシーが存在する必要があります。]
注: DWORD値2 (有効、常に有効)を手動で設定すると、LDAPSまたはTLSが有効な場合にONTAPがLDAP経由でドメインコントローラと通信できなくなります。
ONTAP との互換性を確保するには 、 1136213のサポートが実装されるまで、enforceDWORD value 2を使用しないでください。
- Windowsレジストリでこの値を設定する場所の詳細については、こちらを参照してください。
- 強制が設定されている場合、次のKBに記載されているような問題が発生する可能性があります。
変更2:[Domain controller:LDAP server signing requirements]を[Require Signing]に設定
- このオプションは、Active Directoryドメインコントローラを使用している既存または新規のCIFSサーバ環境、またはLDAPクライアント設定に影響します。
何が変わるのでしょうか?
- LDAPサーバの整合性(署名)=デフォルトで有効(更新後)
- リンクのGPOの例を使用して有効にする方法の詳細については、Microsoftの記事「 Windows Server 2008でLDAP署名を有効にする方法」を参照してください。
LDAPサーバの署名要件
このセキュリティ設定では、LDAPサーバがLDAPクライアントとのネゴシエートに署名を要求するかどうかを次のように指定します。
なし:サーバとバインドするためにデータ署名は必要ありません。クライアントがデータ署名を要求した場合、サーバはデータ署名をサポートします。
署名が必要: TLS\SSLを使用していない場合は、LDAPデータ署名オプションをネゴシエートする必要があります。
LDAP署名グループポリシー - 変更にダウンタイムは不要
ADV190023をインストールすると、 両方の設定([なし]、[未定義])が[署名が必要]になります。
レジストリ値を0(オフ)に設定するだけで、[署名を要求(Require Signature)]の強制が無効になります。
注 (Microsoftは推奨していません):
これは、レジストリの「0」の値が「オフ」を意味することを意味し、これはまた、更新が設定を変更しないことを意味し、署名が要求されないことを意味します。
DC: HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters --> LDAPServerIntegrity = 0
変更にLDAP署名または封印を使用するようにONTAPを設定する方法2
- LDAP の署名または封印の設定については、次のKBを参照してください。 How to set ONTAP to use LDAP Signing or Sealing for CIFS/NFS
よくある質問
Q:この記事に記載されている手順を含む問題を使用しましたか?どうすればよいですか?
- NetAppに関連しない多くの情報と、これらの変更を行う場所があります。これらは、公開時にMicrosoft関連のリンクから取得された ものです。このKBに印刷された情報は、以前に記載された内容と変更された可能性があります。NetApp以外の観点から説明されている手順の正確性については、次のリンクを参照してください。
Q: LDAPチャネルバインディングの値は、PATCH後にデフォルト値の1に設定されているはずですが、ONTAPで変更を加える必要はありますか?
- 値が1に保持され、2に設定されていない限り、LDAPチャネルトークンは必要なく、ONTAPは引き続きLDAPと通信します。
- 1136213が実装されると、ONTAPは正式に LDAP チャネルバインディングトークンをサポートできるようになります。
Q:パッチの適用後、LDAPサーバの整合性(署名)が有効に設定されますが、ONTAPで変更を加える必要はありますか。
- はい。LDAP署名または封印を使用するようにCIFSサーバとLDAPクライアントを設定します。上記の情報には、これらのオプションの設定方法と検証方法に関するサンプルワークフローが記載されています。これらは無停止で実行でき、Microsoftの変更を更新する前に設定することを推奨します。現在LDAP Start TLS またはLDAPSを使用している場合は 、SVM の設定を変更する必要はありません。
Q:VserverですでにLDAP StartTLSを使用していますが、LDAPサーバの整合性(署名)に関してONTAPを変更する必要はありますか。
- いいえ。この要件は、TLS/SSL以外の接続にのみ適用されます。
Q:すでにSVMでLDAPSを使用していますが、LDAPサーバの整合性(署名)に関してONTAPを変更する必要はありますか。
- いいえ。この要件は、TLS/SSL以外の接続にのみ適用されます。LDAPS(LDAP over SSL)のサポートは、ONTAP 9 .5リリースで最初に導入されました。
Q:サポートされていないバージョンのONTAPを使用しています。どのようなオプションがありますか?
- サポート対象のONTAPバージョンへのアップグレード
- 回避策:Microsoftに問い合わせてセキュリティ設定を削除し、レガシークライアントを有効にしてください。
Q:7mode ONTAPを使用していますが、変更は必要ですか。
- この資料は、ONTAP(clustered Data ONTAP)のみを対象としています。ただし、 ADV190023で行われる2つの変更については 、7modeでは次のようになります。
- 変更1:LDAPチャネルバインディングのサポートについては、この機能を7modeに実装する予定はありません。(デフォルト設定の値1を使用(有効)すると、7mode ONTAPも引き続きドメインコントローラと通信します。)
- 変更2: LDAP署名は自動的に 有効になり 、 7mode でLDAPサーバの整合性(署名) 設定を変更する必要はありません。
Q:Microsoftの更新後、LDAP Server Integrity(署名)を無効に戻したいのですが、どうすればよいですか。
- 上記の情報は、レジストリを介してLdapServerIntegrityを無効にする方法を文書化しています。この情報は、Microsoftの記事「LDAP Channel Binding and LDAP Signing Requirements - March 2020 update final release」から直接取得されました。
Q:どのようなONTAPコマンドが影響を受けますか。
- 次のようなコマンドではLDAPが使用され、この更新の結果として影響が表示されます。(not an exhaustive list)
::> vserver cifs create|delete|modify
::> vserver services name-service ldap create
::> vserver services access-check authentication show-creds
::> vserver active-directory create|delete|modify
::> vserver cifs group-policy update
::> secd authentication get-dc-info
::> vserver cifs domain discovered-servers reset-servers
::> secd connections test
質問:Microsoftは、この LDAP 署名が必要になるようにクライアントを設定するように述べています。ONTAPの同等の値は何ですか。ONTAPを使用するようにWindowsクライアントを変更する必要がありますか。
- 上記のKBの設定とコマンドは、ONTAPでこれらの値を設定する方法です。
Q: LDAPの 署名または封印を今すぐ変更して、CIFSの処理には影響しないようにすることはできますか。
- 次のコマンドを使用して、ONTAP LDAPクライアントセッションセキュリティを「sign」または「seal」に設定します。
::> vserver services name-service ldap client modify -session-security
::> vserver cifs security modify -session-security-for-ad-ldap
- このオプションの設定は無停止で実行することが想定されています。
- 既存の CIFS / NFS 接続は この変更の影響を受けません。接続されたセッションはキャッシュされ、 一度確立されるとLDAPは必要ありません。
- 次の LDAP バインドでは、ONTAPは署名または封印のいずれかを使用します。このオプションは、 LDAP 処理を無停止で設定する必要があります。
- これらは 、 [Require signing]のLDAP変更の前に十分に設定できます。
- ただし、LDAP環境でグローバルなセキュリティ変更が発生する可能性がある場合と同様に、お客様の環境が異なる可能性があるため、適切なテストと検証を行うことを推奨します。
Q:これに関する詳しい情報や、影響をよりよく理解するために読むことができる別の情報源はどこで入手できますか?
- 当社の NetApp TMEチームがこれに関するブログ記事を公開しました。ここで読むことができます: マイクロソフト、ONTAP、およびLDAPチャネルバインディング黙示録。
- その投稿を購読して、トピックに関する最新情報を入手してください。
Q:ADV 190023に備えて 、ONTAPに準拠するために必要な最小限の変更は何ですか。
- パッチの適用後に想定されるデフォルトが適用される場合は、次のコマンドを使用してONTAP LDAPクライアントセッションセキュリティを「署名」に設定します。
::> vserver services name-service ldap client modify -session-security sign
::> vserver cifs security modify -session-security-for-ad-ldap sign
- これを CIFS サーバと LDAP クライアントのどちらに設定するかに応じて、次の手順を実行します。
- 最小要件は署名です。封印、LDAPS、 StartTLS はすべて 最小 要件を超えて おり、 自己署名CA証明書などの追加の設定手順が必要になる場合があります。
Q: vserverの-session-securityの出力 に 「 – 」と表示されているか、または空白です。 これはどういう意味ですか。
- ダッシュ またはブランクのデフォルト値 は 「 なし」です。 9より前のバージョン以降に存在していたSVMで、それらのオプションが まだ存在していなかった場合、アップグレード後にこれらの値が表示されることがあります。 パッチに準拠するために、このKBの推奨事項に従ってください。
質問: LDAP 封印が使用されている場合、 LDAP 監査で SVMについてeventide 2889が報告されています。
- これは誤検出です。ONTAPはLDAP の署名と封印に準拠しています。
- session-security-for-ad-ldap シールにより、ONTAPに イベントID 2889のフラグが設定される LDAP 監査
- 1300585 LDAP封印が使用されている場合にWindowsドメインコントローラでイベントID 2889が生成される
- このログの異常に関するMicrosoftの説明
Q:今後のLDAPの署名と封印に関するNetAppの推奨事項は何ですか。
- LDAP 署名を使用することを推奨します。
Q:このKBのすべてのリンクを読みましたが、 LDAPS、署名と封印、 startTLSの違いは何か混乱して います。
以下のリンクの一部を参照して、違いを説明してください。
LDAPの署名と封印 (ポート389経由)ONTAP 9。0+
署名は、シークレット キー技術を使用してLDAPペイロード データの整合性を確保します。封印は、LDAPペイロード データを暗号化して機密情報がクリア テキストで送信されないようにします。[LDAP Security Level]オプションは、LDAPトラフィックが署名されるか、署名されて封印されるか、またはどちらも必要ないかを示します。デフォルトは「none」です。(詳細については、 「LDAP署名と封印の概念 と NFSガイド」を参照してください)。
自己署名ルートCA証明書が必要
LDAP over TLS (ポート389経由)ONTAP 8.2.1以降(詳細情報: LDAP over TLSの概念)
LDAPS(ポート636経由)ONTAP 9 .5以降 (詳細情報: LDAPの使用)
Q:LDAP署名または封印が使用されていることを確認するにはどうすればよいですか。
- 確認方法については、NetAppテクニカルサポートにお問い合わせください。
Q:LDAPチャネルバインディングをサポートする前に、すべてのオプションと想定される動作を説明するチャートはありますか。
- はい。LDAP処理で想定される動作については、次の表を参照してください。
ラベル | 対応するCIFSセキュリティオプション |
シヨメイ | session-security-for-ad-ldapサイン |
シーリング | session-security-for-ad-ldapシール |
STARTTLS | use-start-tls-for-ad-ldap true |
LDAPS | use-ldaps-for-ad-ldap true |
LDAP 設定 | チャネルバインディングの適用 | チャネルバインドが適用されていない |
デフォルト設定、新しいSVM | 成功 | 成功 |
署名のみ | 成功 | 成功 |
シーリングのみ | 成功 | 成功 |
STARTTLSのみ | で障害が発生した場合 | 成功 |
LDAPSのみ | で障害が発生した場合 | 成功 |
署名+開始TLS | で障害が発生した場合 | 成功 |
署名+ LDAPS | で障害が発生した場合 | 成功 |
封印+ StartTLS | で障害が発生した場合 | 成功 |
シーリング+ LDAPS | で障害が発生した場合 | 成功 |
Q: Active IQ システムリスク検出のため、このドキュメントを読んでいます。
- ™ストレージシステムでAutoSupportを有効にしているお客様向けに、 Active IQ ポータルには、お客様、サイト、およびシステムレベルの詳細なシステムリスクレポートが表示されます。このレポートには、特定のリスクがあるシステム、重大度レベル、および軽減アクションプランが表示されます。これらのアラートのいずれかの結果として、この記事を読んでいる可能性があります。 セキュリティ保護されていない LDAP 設定が システムのCIFSサーバまたはLDAPクライアント設定で検出された場合は、この記事全体を参照して、 ADV190023を適用した結果として問題を軽減する方法に関するベストプラクティスの推奨事項を確認してください。