ビジネスサポートポータルアカウントでログイン
 

LDAPチャネルバインディングおよびLDAP署名の有効化のInterScan Messaging Securityシリーズへの影響について

    • 更新日:
    • 5 Feb 2020
    • 製品/バージョン:
    • InterScan Messaging Security Suite 7.5
    • InterScan Messaging Security Suite 9.1
    • InterScan Messaging Security Virtual Appliance 9.1
    • OS:
    • Linux
    • Windows
    • Virtual Appliance
概要
Microsoftから、「Active Directoryに対するLDAPチャネルバインディングとLDAP署名を2020年3月のWindows Updateで有効化する」とのアナウンスがありました。InterScan Messaging Security Suite(以下、InterScan MSS)、InterScan Messaging Security Virtual Appliance (以下、IMSVA)でActive Directoryとの連携機能を使用しておりますが、影響ありますでしょうか。
詳細
Public

概要

Microsoft社から、「Active Directoryに対するLDAPチャネルバインディングとLDAP署名を2020年3月のWindows Updateで有効化する」とのアナウンスがございます。それぞれの機能および手動での設定方法につきましては、Microsoft社より以下で紹介されております。

LDAPチャネルバインディング
LDAP署名
 

IMSVA 9.1 / InterScan MSS 9.1 Linux版

1. 影響

管理コンソールの以下から、現在使用しているLDAPサーバの種類を確認可能です。
LDAPサーバの種類が"MicroSoft Active Directory"または"MicroSoft Active Directoryグローバルカタログ"となっている場合、Active Directoryを使用しているため影響があります。その他の種類のLDAPサーバを使用している場合は影響ありません。

IMSVA 9.1:[管理] > [IMSVA設定] > [接続] > [LDAP] > (LDAPサーバを選択) > [LDAPサーバの種類] 
InterScan MSS 9.1:[管理] > [IMSS設定] > [接続] > [LDAP] > (LDAPサーバを選択) > [LDAPサーバの種類] 

Active Directoryを使用している場合、LDAPチャネルバインディングとLDAP署名を共に有効化したActive Directoryに対応するには、後述のLDAP over SSL (LDAPS) の設定が必要となります。既にLDAPSを利用している環境については設定は不要です。

Microsoft社からの公開情報等に進展がありましたら、内容を更新いたします。

2. 影響のある機能

Active Directoryにアクセスできなくなるため、LDAPサーバを参照する以下の機能が正しく動作しなくなります。
 
  1. 管理コンソールの[クラウドプレフィルタ]にて、各ドメインの[条件]  > [有効な受信者]で"有効な受信者のチェックを有効にする"をチェックし、当該機能を使用。
  2. 管理コンソールの[ポリシー] > [ポリシーリスト]で、"受信者と送信者"条件にて"LDAPユーザまたはグループの検索"で登録したLDAPユーザまたはLDAPグループを条件に設定したポリシー。
  3. 管理コンソールの[ポリシー] > [内部アドレス]で、"LDAPグループの検索"で登録した内部アドレス情報。
  4. 管理コンソールの[送信者フィルタ] > [ルール] > [DHA攻撃] または [バウンスメール]で設定した送信者フィルタ。
  5. 管理コンソールの[管理] > [IMSVA設定] > [SMTPルーティング] > [メッセージルール]で、"不明な受信者を拒否する(LDAP確認による)"をチェックし、当該機能を使用(IMSVAのみ)。
  6. [管理] > [管理者アカウント]にて、"認証"を"LDAP認証"としているアカウントの作成と使用。
  7. [管理] > [エンドユーザメール隔離] > [エンドユーザメール隔離管理]で”EUQ認証にLDAPを使用する"と"エンドユーザメールを隔離を有効にする"をチェックし、エンドユーザメール隔離機能を使用。
 

3. LDAP over SSLの設定方法

  1. 管理コンソールより[管理] > [接続]をクリックし、[LDAP]タブを表示します。

  2. 設定変更するエントリを選択、または新規に登録する場合は「追加」ボタンを押します

  3. 「待機ポート番号」にActive DirectoryサーバーのLDAP over SSL通信に利用するポート番号を指定します

  4. 「IMSVAとLDAP間の暗号化通信を有効にする」または「InterScan MSSとLDAP間の暗号化通信を有効にする」をチェックします。

  5. [CA証明書ファイル] > [ファイルを選択]ボタンをクリックし、Active Directory サーバのサーバ証明書を署名しているCA証明書を設定します。

  6. 「追加」または「保存」ボタンをクリック、変更を保存します。

InterScan MSS 7.5 Windows版

1. 影響

管理コンソールの[管理] > [InterScan MSSの設定] > [接続] > [LDAP]の"LDAPサーバの種類"から、現在使用しているLDAPサーバの種類を確認可能です。
LDAPサーバの種類が"MicroSoft Active Directory"となっている場合、Active Directoryを使用しているため影響があります。その他の種類のLDAPサーバを使用している場合は影響ありません。

Windows版では、LDAPチャネルバインディングとLDAP署名を共に有効化したActive Directoryには対応しておりません。そのため、Active Directoryを使用している場合、現状では後述の回避策による対応が必要となります。
Microsoft社からの公開情報等に進展がありましたら、内容を更新いたします。
 

2. 影響のある機能

Active Directoryにアクセスできなくなるため、LDAPサーバを参照する以下の機能が正しく動作しなくなります。
 
  1. 管理コンソールの[ポリシー] > [ポリシーリスト]で、"受信者と送信者"条件にて"LDAPユーザまたはグループの検索"で登録したLDAPユーザまたはLDAPグループを条件に設定したポリシー。
  2. 管理コンソールの[ポリシー] > [内部アドレス]で、"LDAPグループの検索"で登録した内部アドレス情報。
  3. 管理コンソールの[IPフィルタ] > [ルール] > [DHA攻撃] または [バウンスメール]で設定したIPフィルタ。
  4. 管理コンソールの[管理] > [InterScan MSS設定] > [SMTPルーティング] で、"LDAPサーバ内の受信者を確認する"をチェックし、当該機能を使用。
  5. [管理] > [管理者アカウント]にて、"認証"を"LDAP認証"としているアカウントの作成と使用。
  6. [管理] > [エンドユーザメール隔離] > [エンドユーザメール隔離管理]で"エンドユーザアクセスを有効にする"をチェックし、エンドユーザメール隔離機能を使用。
 

3. 回避方法

現状、以下いずれかを実施いただくことになります。
 
  1. 上述のMicrosoft社紹介の設定変更方法に従って、Active Directory側でLDAP署名を無効化いただく。
  2. Windows Updateを自動更新から手動更新に変更し、当該Windows Updateの自動適用を回避する。
Premium
Internal
Partner
評価:
カテゴリ:
SPEC
Solution Id:
000237098
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド