メインコンテンツまでスキップ

マイクロソフトセキュリティアドバイザリ:「ADV190023 impact on NetApp appliance running CIFS\NFS using Microsoft Active Directory LDAP servers」

Views:
954
Visibility:
Public
Votes:
2
Category:
ontap-9
Specialty:
nas
Last Updated:

 

環境

  • ONTAP 9
  • CIFS
  • NFS
  • STARTTLS
  • LDAPS

回答

ADV190023はONTAPにどのような影響を与えますか?

想定される変更は次の2つです。 

  • 変更1: LdapEnforceChannelBindingレジストリエントリを使用して、SSL/TLS経由のLDAP認証のセキュリティを強化する
  • 変更2:[Domain controller:LDAP server signing requirements]を[Require Signing]に設定 

 

変更 1:  LdapEnforceChannelBindingレジストリエントリを使用して、SSL/TLS経由のLDAP認証のセキュリティを強化する  

何が変わるのでしょうか?  

  • LDAPチャネルバインド= 1(更新後)  

AD - HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters   

ADLDS - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Parameters   

値:1有効(サポートされている場合)を示します。   

  • DWORD値:0無効であることを示します。チャネルバインディングの検証は実行されません。これは、更新されていないすべてのサーバの動作です。  

  • DWORD値:1サポートされている場合は有効であることを示します。チャネルバインディングトークン(CBT)をサポートするように更新されたWindowsのバージョンで実行されているすべてのクライアントは、チャネルバインディング情報をサーバーに提供する必要があります。 
    CBTをサポートするように更新されていないバージョンのWindowsを実行しているクライアントは、更新する必要はありません。 
    これは、アプリケーションの互換性を可能にする中間オプションです。  

  • DWORD値:2常に有効であることを示します。すべてのクライアントがチャネルバインディング情報を提供する必要があります。サーバはクライアントからの認証要求を拒否しますが、そうでない認証要求は拒否されます。  

警告:    1136213のサポートが実装されるまで、LdapEnforceChannelBindingにはEnforceDWORD値2を使用しないでください。   

 

  デフォルト設定の値1を使用(有効)すると、ONTAPは引き続きドメインコントローラと通信しますが、影響はありません。   

[2020年3月10日MSアップデート後、ドメインコントローラ: LDAPサーバーチャネルバインディングトークン要件グループポリシーが存在する必要があります。]

注:  DWORD値2 (有効、常に有効)を手動で設定すると、LDAPSまたはTLSが有効な場合にONTAPがLDAP経由でドメインコントローラと通信できなくなります。 

ONTAP との互換性を確保するには 、 1136213のサポートが実装されるまで、enforceDWORD value 2を使用しないでください。   

変更2:[Domain controller:LDAP server signing requirements]を[Require Signing]に設定  
  • このオプションは、Active Directoryドメインコントローラを使用している既存または新規のCIFSサーバ環境、またはLDAPクライアント設定に影響します。   

  何が変わるのでしょうか?  

  • LDAPサーバの整合性(署名)=デフォルトで有効(更新後)  

LDAPサーバの署名要件  

 このセキュリティ設定では、LDAPサーバがLDAPクライアントとのネゴシエートに署名を要求するかどうかを次のように指定します。  

  •  なし:サーバとバインドするためにデータ署名は必要ありません。クライアントがデータ署名を要求した場合、サーバはデータ署名をサポートします。  

  • 署名が必要: TLS\SSLを使用していない場合は、LDAPデータ署名オプションをネゴシエートする必要があります。  

LDAP署名グループポリシー 変更にダウンタイムは不要   

ADV190023をインストールすると、 両方の設定([なし]、[未定義])が[署名が必要]になります。   

レジストリ値を0(オフ)に設定するだけで、[署名を要求(Require Signature)]の強制が無効になります。  

   (Microsoftは推奨していません): 

これは、レジストリの「0」の値が「オフ」を意味すること意味し、これはまた、更新が設定を変更しないことを意味し、署名が要求されないことを意味します。   

DC: HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters  --> LDAPServerIntegrity = 0  

変更にLDAP署名または封印を使用するようにONTAPを設定する方法2
よくある質問
Q:この記事に記載されている手順を含む問題を使用しましたか?どうすればよいですか?  
Q: LDAPチャネルバインディングの値は、PATCH後にデフォルト値の1に設定されているはずですが、ONTAPで変更を加える必要はありますか?
  • 値が1に保持され、2に設定されていない限り、LDAPチャネルトークンは必要なく、ONTAPは引き続きLDAPと通信します。
  • 1136213が実装されると、ONTAPは正式に LDAP チャネルバインディングトークンをサポートできるようになります。   
Q:パッチの適用後、LDAPサーバの整合性(署名)が有効に設定されますが、ONTAPで変更を加える必要はありますか。  
  • はい。LDAP署名または封印を使用するようにCIFSサーバとLDAPクライアントを設定します。上記の情報には、これらのオプションの設定方法と検証方法に関するサンプルワークフローが記載されています。これらは無停止で実行でき、Microsoftの変更を更新する前に設定することを推奨します。現在LDAP Start TLS またはLDAPSを使用している場合は 、SVM の設定を変更する必要はありません。
Q:VserverですでにLDAP StartTLSを使用していますが、LDAPサーバの整合性(署名)に関してONTAPを変更する必要はありますか。
  • いいえ。この要件は、TLS/SSL以外の接続にのみ適用されます。
Q:すでにSVMでLDAPSを使用していますが、LDAPサーバの整合性(署名)に関してONTAPを変更する必要はありますか。
Q:サポートされていないバージョンのONTAPを使用しています。どのようなオプションがありますか?
  • サポート対象のONTAPバージョンへのアップグレード
  • 回避策:Microsoftに問い合わせてセキュリティ設定を削除し、レガシークライアントを有効にしてください。
Q:7mode ONTAPを使用していますが、変更は必要ですか。  
  • この資料は、ONTAP(clustered Data ONTAP)のみを対象としています。ただし、 ADV190023で行われる2つの変更については  、7modeでは次のようになります。  
    • 変更1:LDAPチャネルバインディングのサポートについては、この機能を7modeに実装する予定はありません。(デフォルト設定の値1を使用(有効)すると、7mode ONTAPも引き続きドメインコントローラと通信します。)
    • 変更2: LDAP署名は自動的に 有効になり 、   7mode でLDAPサーバの整合性(署名) 設定を変更する必要はありません。
Q:Microsoftの更新後、LDAP Server Integrity(署名)を無効に戻したいのですが、どうすればよいですか。
Q:どのようなONTAPコマンドが影響を受けますか。
  • 次のようなコマンドではLDAPが使用され、この更新の結果として影響が表示されます。(not an exhaustive list) 

::> vserver cifs create|delete|modify
::> vserver services name-service ldap create
::> vserver services access-check authentication show-creds  
::> vserver active-directory create|delete|modify
::> vserver cifs group-policy update
::> secd authentication get-dc-info
::> vserver cifs domain discovered-servers reset-servers
::> secd connections test

 

質問:Microsoftは、この LDAP 署名が必要になるようにクライアントを設定するように述べています。ONTAPの同等の値は何ですか。ONTAPを使用するようにWindowsクライアントを変更する必要がありますか。
  • 上記のKBの設定とコマンドは、ONTAPでこれらの値を設定する方法です。
Q: LDAPの 署名または封印を今すぐ変更して、CIFSの処理には影響しないようにすることはできますか。
  • 次のコマンドを使用して、ONTAP LDAPクライアントセッションセキュリティを「sign」または「seal」に設定します。 
  1. ::> vserver services name-service ldap client modify -session-security
  2. ::> vserver cifs security modify -session-security-for-ad-ldap 
    • このオプションの設定は無停止で実行することが想定されています。 
  • 既存の CIFS / NFS 接続は この変更の影響を受けません。接続されたセッションはキャッシュされ、   一度確立されるとLDAPは必要ありません。
  • 次の LDAP バインドでは、ONTAPは署名または封印のいずれかを使用します。このオプションは、 LDAP 処理を無停止で設定する必要があります。
  • これらは 、 [Require signing]のLDAP変更の前に十分に設定できます。 
    • ただし、LDAP環境でグローバルなセキュリティ変更が発生する可能性がある場合と同様に、お客様の環境が異なる可能性があるため、適切なテストと検証を行うことを推奨します。
Q:これに関する詳しい情報や、影響をよりよく理解するために読むことができる別の情報源はどこで入手できますか?
Q:ADV 190023に備えて 、ONTAPに準拠するために必要な最小限の変更は何ですか。
  •  パッチの適用後に想定されるデフォルトが適用される場合は、次のコマンドを使用してONTAP LDAPクライアントセッションセキュリティを「署名」に設定します。 

::> vserver services name-service ldap client modify -session-security sign 
::> vserver cifs security modify -session-security-for-ad-ldap sign 

  • これを CIFS サーバと LDAP クライアントのどちらに設定するかに応じて、次の手順を実行します。  
    • 最小要件は署名です。封印、LDAPS、 StartTLS はすべて  最小 要件を超えて おり、 自己署名CA証明書などの追加の設定手順が必要になる場合があります。 
Q: vserverの-session-securityの出力 に 「 – 」と表示されているか、または空白です。 これはどういう意味ですか。
  • ダッシュ またはブランクのデフォルト値 は 「 なし」です。   9より前のバージョン以降に存在していたSVMで、それらのオプションが まだ存在していなかった場合、アップグレード後にこれらの値が表示されることがあります。  パッチに準拠するために、このKBの推奨事項に従ってください。
質問: LDAP 封印が使用されている場合、 LDAP 監査で  SVMについてeventide 2889が報告されてます
Q:今後のLDAPの署名と封印に関するNetAppの推奨事項は何ですか。
  • LDAP 署名を使用することを推奨します。 
Q:このKBのすべてのリンクを読みましたが、 LDAPS、署名と封印、 startTLSの違いは何か混乱して います。

以下のリンクの一部を参照して、違いを説明してください。 

  • LDAPの署名と封印 (ポート389経由)ONTAP 9。0+ 

    • 署名は、シークレット キー技術を使用してLDAPペイロード データの整合性を確保します。封印は、LDAPペイロード データを暗号化して機密情報がクリア テキストで送信されないようにします。[LDAP Security Level]オプションは、LDAPトラフィックが署名されるか、署名されて封印されるか、またはどちらも必要ないかを示します。デフォルトは「none」です。(詳細については、 「LDAP署名と封印の概念 と NFSガイド」を参照してください)。 

  • 自己署名ルートCA証明書が必要 

    • LDAP over TLS (ポート389経由)ONTAP  8.2.1以降(詳細情報: LDAP over TLSの概念)  

    • LDAPS(ポート636経由)ONTAP 9 .5以降 (詳細情報: LDAPの使用)  

Q:LDAP署名または封印が使用されていることを確認するにはどうすればよいですか。
  • 確認方法については、NetAppテクニカルサポートにお問い合わせください。
Q:LDAPチャネルバインディングをサポートする前に、すべてのオプションと想定される動作を説明するチャートはありますか。
  • はい。LDAP処理で想定される動作については、次の表を参照してください。
ラベル 対応するCIFSセキュリティオプション
シヨメイ session-security-for-ad-ldapサイン
シーリング session-security-for-ad-ldapシール
STARTTLS use-start-tls-for-ad-ldap true
LDAPS use-ldaps-for-ad-ldap true
LDAP 設定 チャネルバインディングの適用 チャネルバインドが適用されていない
デフォルト設定、新しいSVM 成功 成功
署名のみ 成功 成功
シーリングのみ 成功 成功
STARTTLSのみ で障害が発生した場合 成功
LDAPSのみ で障害が発生した場合 成功
署名+開始TLS で障害が発生した場合 成功
署名+ LDAPS で障害が発生した場合 成功
封印+ StartTLS で障害が発生した場合 成功
シーリング+ LDAPS で障害が発生した場合 成功

 

Q:  Active IQ システムリスク検出のため、このドキュメントを読んでいます。
  • ™ストレージシステムでAutoSupportを有効にしているお客様向けに、 Active IQ ポータルには、お客様、サイト、およびシステムレベルの詳細なシステムリスクレポートが表示されます。このレポートには、特定のリスクがあるシステム、重大度レベル、および軽減アクションプランが表示されます。これらのアラートのいずれかの結果として、この記事を読んでいる可能性があります。  セキュリティ保護されていない LDAP 設定が      システムのCIFSサーバまたはLDAPクライアント設定で検出された場合は、この記事全体を参照して、 ADV190023を適用した結果として問題を軽減する方法に関するベストプラクティスの推奨事項を確認してください。 

 

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.