はじめに
ライトウェイトディレクトリアクセスプロトコル (LDAP) の変更についてよく寄せられる質問への回答を確認します。
詳細については、 ADV190023を参照してください。
数式
-
クライアントは SSL/TLS の CBT をどのように使用していますか。また、アプリケーションを変更する必要がありますか?
-
チャネルのバインドと署名は、ドメインコントローラー (DC)、または Dc とクライアントの両方で構成する必要がありますか。
注: この記事は、お客様のフィードバックに応じて追加の質問と回答を定期的に更新します。
よく寄せられる質問
-
ADV190023 |LDAP チャネルバインドと LDAP 署名を有効にするための Microsoft ガイダンス
-
KB4520412 2020 ldap チャネルバインドと Windows 用 ldap 署名の要件
-
KB935834 Windows SERVER 2008 で LDAP 署名を有効にする方法
-
KB4563239 ADV190023 がインストールされた後の LDAP セッションのセキュリティ設定と要件
-
Blogs.TN: DC へのクリアテキスト LDAP バインド(2016 年1月13日公開)
-
IETF: HTTP 経由のトークンのバインド
-
このドキュメントでは、HTTP サーバーが認証トークン (cookie や OAuth トークンなど) を SSL/TLS [RFC5246] 接続に暗号化することを可能にするメカニズムのコレクションについて説明します。
-
-
テクニカルコミュニティ: ldap チャネルバインドと Ldap 署名の要件-3 月の更新プログラムの新しい動作
-
このブログでは、署名済みの LDAP バインドまたはチャネルバインドトークンを使用していないデバイスでログに記録される監査イベントについて説明します
-
署名を有効にしていない、または署名をサポートしていない LDAP クライアントは接続されません。
Ldap 署名が必要な場合、非 TLS 接続での LDAP 簡易バインドは動作しません。
SSL/TLS 経由で接続する LDAP クライアントは、CBT を提供しません。これは、サーバーに CBT が必要な場合に失敗します。
中間サーバーによって終了された SSL/TLS 接続は、現在 Active Directory ドメインコントローラーへの新しい接続に問題があるため、失敗します。
サードパーティのオペレーティングシステムやアプリケーションでは、チャネルバインディングのサポートが LDAP 署名の場合よりも一般的ではない可能性があります。
いいえ。
.NET Framework または Active Directory サービスインターフェイス (ADSI) 上に構築された Windows アプリケーション、または、ldap 署名とチャネルバインドを処理する WLDAP32 に LDAP 呼び出しを行います。 Windows 以外のデバイス O/S、サービス、アプリケーションの SDK と同等の機能をご利用ください。
いいえ。 署名付きの SASL が使用されている場合は、ポート389経由の LDAP のセキュリティが強化されています。
これらのポリシーは、DCs でのみ有効になります。
関連情報
サードパーティの情報に関する免責事項
この資料に記載されているサードパーティ製品は、マイクロソフトと関連のない他社の製品です。 お客様は、これらの製品のパフォーマンスや信頼性について、一切の責任を負わないものとします。
サードパーティの連絡先情報を提供して、テクニカルサポートを利用できるようにします。 マイクロソフトは、掲載されている情報に対して、いかなる責任も負わないものとします。 このサードパーティの連絡先情報の精度は保証されません。
