LDAPの署名必須設定

2020年7月15日水曜日

AD LDAPS

t f B! P L
2020年後半のWindows OSのセキュリティパッチが適用されると
LDAP接続時に署名が必須となるという話があったのですが、
下記のセキュリティアドバイザリーによると、強制的に設定が変更になるということは
なくなったようです。


ただし、セキュリティを強化するために手動で設定することは可能なので、
その設定方法についてみていきます。

グループポリシーの設定

LDAP署名を有効化するにはグループポリシーの管理から以下のように
修正します。

こちらはAD側の設定を変更するためのグループポリシーです。

Require signingを選択します。



メンバーサーバ側の設定も変更していきます。



設定確認

グループポリシーの変更が反映されると
AD側のレジストリが下記のようになります。
ldpserverintegrityの値が0x2になっています。








メンバーサーバは下記のようになります。




接続テスト

この状態でメンバーサーバからldapの簡易バインドをしようとすると
以下のようにエラーになります。




Redmineの方も認証に失敗してしまいました。



LDAPクライアント側でのLDAPS有効化

RedmineLDAP認証の設定を下記のようにLDAPSに変更します。



無事、RedmineでもLDAPSが有効になりました。

PV

PVアクセスランキング にほんブログ村

ブログ村

このブログを検索

自己紹介

システムエンジニアとして12年ほど勤めたあと、社内SEに転職しました。 2017年に転職して、2019年に中古マンションを買いました。

リモートデスクトップのプロキシ越え

社内ネットワークからクラウド上のサーバにリモートデスクトップしたい Azureなどのクラウド環境にWindowsOSを立ち上げると、インターネット経由でリモートデスクトップ接続することになります。会社のネットワークからインターネットにアクセスする場合はプロキシサーバーやファイ...

QooQ