ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

Active Directory LDAP署名のあり、なしの併用は本番は非推奨、検証はすべき

Active Directory LDAP署名のあり、なしの併用は本番は非推奨で、検証はすべきという内容ですが、ADって意外と融通が利かないことが多くて、基本的にクライアントを明示的にこのドメインコントローラーに認証させるという指定が難しくて、そういった要望は多いと思いますが、その為、LDAP署名のあり、なしの併用は本番環境では考えないほうがいいでしょうね。

 

ただ、検証環境で事前に検証をしておかないと、LDAP署名による影響を受けて使えないシステムがでてくると、問題になることになりますので、事前に確認は必須です。大企業になると、影響範囲が見えない、把握が難しいケースがあるので、移行はちょっと大変かもしれません。

 

これに関してフォーラムでも問い合わせがありました。

 

以下記事によると、2020年下半期にLDAP署名およびLDAPチャネルバインディングを既定で有効化させる更新プログラムが配布されるようです。

https://msrc-blog.microsoft.com/2019/10/02/ldapbinding/

 

現在社内にて運用中のシステムには、LDAP署名ありでの認証はサポートしていないものもあります。

Active Directoryの仕様的に可能であれば、システムによってLDAP署名あり/なしを使い分ける構成としたいと考えております。

そのような設定がそもそも可能なのか、可能な場合は詳細な設定方法についてご教示いただけないでしょうか。

 

この方の説明はやはり分かりやすいですが、パッチを適用すると強制的にLDAP署名が有効になってしまいますので、GPOで設定を無効化するなどの配慮が必要になってきます。まだ、すべてのソリューションがこの仕組みについてきているわけではないので、周辺については調査が必要かと思います。

 

ちなみにこの資料をよくみると、LDAP署名を問答無用に強制するのではなく、「グループポリシーによる一括設定」と「強制後のモニタリング」が行えるようになった、ということです。

グループポリシーによる設定変更は「レジストリ」による設定で、1台ずつ個別に設定することは可能です。つまりレジストリ設定により、LDAP署名を強制する・しないドメインコントローラーを分けること自体はできるでしょう。ですが以下の理由によりお奨めはしません。

理由は単純で、メンバーサーバーやクライアントは基本的にログオンするドメインコントローラーを明示指定できないためです。ネットワーク設定や接続状況によりログオン先ドメインコントローラーは変更されるため、設定が異なる場合、不測のエラーが発生する可能性が高いでしょう。LDAP署名対応の有無を検出して回避する方法はありませんので、このようなエラーが発生した場合、甘受するしか選択がありません。

 

 

「参考」

https://social.technet.microsoft.com/Forums/ja-JP/062b0d87-e6b6-453c-9d84-d70168340bc2/ldap326262151712354124261239412375123982034129992123951238812356?forum=activedirectoryja