Windows Server UpdateでLDAPチャネルバインディングが有効化される
2020年03月WindowsUpdateでLDAP署名とLDAPチャネルバインディングが有効に
- [AD管理者向け] 2020年LDAP署名とLDAPチャネルバインディングが有効化。確認を!
- ADV190023 | LDAPチャネルバインディングとLDAP署名を有効にするためのマイクロソフトガイダンス
2020年3月のWindowsUpdateで2つの機能が有効化される
- LDAP署名
- SASLが署名されていないLDAPバインドを利用できない
- SSL/TLSなしのLDAPシンプルバインドを利用できない
- LDAPチャネルバインディング必須(LDAPS利用時のみ)
- CBTを提供できないLDAPクライアントが接続に失敗する可能性がある
LDAP
LDAP認証はRFC4513で規定されてる。
バインド(bind)はLDAPサービスへのログインのこと。
ldapsarchでは-D
オプションでBIND DNとしてログインユーザを指定する。
BIND Operation
RFCではBIND OperationとしてSimple Authentication MethodとSASL Authentication Methodが規定されている。
SASL(Simple Authentication and Security Layer)
SASL(Simple Authentication and Security Layer)はRFC4422で規定されているプロトコルで、LDAPの他に、SMTP、IMAP、Databaseなどで利用される。
RFC4422のIntroductionで示されるように、利用するプロトコルと認証メカニズムの間の抽象化レイヤーとしてのフレームワークで、認証メカニズム自体は別のプロトコルと組み合わせて利用する。
認証メカニズムはIANAでSASL Mechanism Registryとして公開されている。
昔よく見かけたDIGEST-MD5やKERBEROS_V4はすでにOBSOLETE扱いで、CRAM-MD5やNTLMもLIMITED扱いになっている。
SASLが規定するのは認証(Authentication)、機密性(Confidentiality)、完全性(Integrity)が規定されているが、すべてを満たす必要はない。
GSS-API(Generic Security Standard Application Programming Interface)
GSS-APIはRFC5179で規定されている。
GSS-APIを使用したプログラミングについてはOracle GSS-APIのプログラミングが参考になる。
結局GSS-APIも抽象化レイヤーでしかなく、実態はKERBEROS_V5を使用する。
SASL Mechanism Registryで規定された、GSSAPIはRFC4752で規定されたKERVEROS_V5(GSSAPI)を使用したSASL Mechanism。
Active DirectoryのLDAP機能
ActiveDirectoryのディレクトリサービスはLDAP v3でユーザ認証はKERBEROS_V5が使用されている。
Active DirectoryのLDAP署名
LDAP署名(LDAP Signing)はSASLの完全性(Integrity)のためのintegrity verificationの機能。
ActiveDirectoryのSASL実装は既定の設定では認証(Authentication)のみを使用するが、LDAP署名を有効化することで完全性(Integrity)も使用することとなる。
Active DirectoryのLDAPチャネルバインディング
チャネルバインディングは認証されたトランザクションと機密性(Confidentiality)が確保された通信路(セキュアチャネル)を結びつけ、man-in-the-middle攻撃から保護する機能。
チャネルバインディングはLDAPに関しての規定は見当たらないが、GSS-APIでチャネルバインディングが存在する。
セキュアチャネルにチャネルバインディングを使用する場合についてRFC5056で規定されている。セキュアチャネルとしてはSSHv2(SSH-CB)、TLS(TLS-CB)が示されている。
また、RFC6542でKERBEROS_V5のGSS-APIにおけるチャネルバインディングが規定されている。
いずれもわかりにくく、平易にチャネルバインディングについて説明されたものではないが、Microsoftの認証の拡張保護の概要がわかりやすい。
LinuxクライアントはChannel Binding Tokenを提出できないのではないか?(完全を設定した場合拒否されるのでは?)
その後
延期された。
2020 年 2 月 5 日: セキュリティ アドバイザリ ADV190023 の更新に伴い、2020 年 3 月での更新予定内容を追加し、有効化措置の予定を 2020 年後半に変更しました。