LDAPチャンネル バインディング とLDAP署名の影響について

Microsoft社は2019年8月13日に
セキュリティアドバイザリ ADV190023 「LDAP チャネル バインディングと LDAP 署名を有効にするためのマイクロソフト ガイダンス」を
リリースしております。

https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV190023

これに伴い、Microsoft社は2020年3月の定期Windows Updateで「LDAP チャネル バインディングと LDAP 署名 の強化の変更」を
有効にするセキュリティ更新プログラムをリリースする予定です。

https://support.microsoft.com/ja-jp/help/4520412/2020-ldap-channel-binding-and-ldap-signing-requirement-for-windows

※マイクロソフトのセキュリティアドバイザリが更新され、
　LDAP 署名と LDAP チャネルバインディングを既定で有効化する更新プログラムの提供が、2020年3月から 2020年後半に延期されました。
　それに先立ち、2020年3月の Windows Update では、
　LDAP 署名とLDAP チャネルバインディングを強化できる新しい監査イベント、新しいログ、およびグループ ポリシー値の再マッピングが追加されます。
　（このとき、既定値の有効化はまだ行われません。）

弊社にはこのアップデートによるPaperCutへの影響についてのお問合せを多数頂いております。

PaperCutの「同期ソース」が「Windows Active Directory」の場合、
PaperCutへの影響はなく3月のセキュリティ更新プログラム適用後も問題なくご利用いただけます。

「同期ソース」が「LDAP」で、「LDAPサーバのタイプ」が「Active Directory」の場合、PaperCutの管理画面から追加の設定が必要となります。


同期ソースが「Windows Active Directory」の場合

同期ソース(プライマリ/セカンダリ)が「Windows Active Directory」の場合、
2020年3月にリリースされるセキュリティ更新プログラムが適用されてもPaperCutには影響がありません。追加の設定も発生しません。



同期ソースが「LDAP」で、LDAPサーバ・タイプが「Active Directory」の場合

同期ソース(プライマリ/セカンダリ)が「LDAP」で、LDAPサーバのタイプが「Active Directory」の場合、
2020年3月にリリースされるセキュリティ更新プログラムが適用された後、次の追加設定を行っていただく必要があります。

1. PaperCutプライマリ・サーバとLDAPサーバ(Active Directory) 間でポート「3269」が解放されているかどうかを確認してください。
2. PaperCut管理画面へログイン
3. <オプション> - <ユーザ/グループの同期> セクションを選択
4. 「SSLの使用 (LDAPサーバでサポートされている必要あり)」にチェックを付けてください。
5. [適用] をクリックし設定を保存してください。
6. [テスト設定] ボタンをクリックし、同期テストでエラーが発生しないかを確認してください。

【注記】セキュリティ更新プログラム適用前に追加設定を行った場合、エラーが発生し同期に失敗します。

同期ソースが「LDAP」で、LDAPサーバ・タイプが「Active Directory」以外の場合
同期ソース(プライマリ/セカンダリ)が「LDAP」で、LDAPサーバのタイプが「Active Directory」以外の場合、
2020年3月にリリースされるセキュリティ更新プログラムが適用されても影響はありません。



https://www.papercut.com/kb/Main/ConfigureSecureLDAP#overview