有关Windows的2020年LDAP 签名和LDAP 通道绑定(ChannelBinding) 需求的影响

 
Avatar
FAQ Manager
最近更新时间:
首次发行日期:
微软公司计划在Windows Update中发布将LDAP 通道绑定(ChannelBinding)
和LDAP 签名的增强功能的更改设置为有效的安全更新程序。
目前,此更新程序将在2020年3月中旬提供。

以下是将被更改的设置。

・LDAP 签名
・LDAP 通道绑定(ChannelBinding)

https://support.microsoft.com/zh-cn/help/4520412/2020-ldap-channel-binding-and-ldap-signing-requirement-for-windows

2020年3月延迟发表的文章
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/adv190023

【受影响的环境】

使用以下功能时,有时将不能连接LDAP服务器。

・在ntra-mart Accel Platform中使用了LDAP验证进行账号验证,且不是LDAPS连接。
・在ntra-mart Accel Platform中使用了Module.ldap,且不是LDAPS连接。


【处理方法】

■ LDAP签名

  在LDAP验证功能中,LDAP 签名的处理方法为以下任意一个方法。

  1.难以实现LDAPS连接时,配置为不要求AD的LDAP服务器签名。
     在Active Directory中将“组策略”的“域控制器:LDAP 服务器签名要求”设置为“无”。
 参考:在WINDOWS Server 2008版本中将LDAP签名设置为有效的方法
                https://support.microsoft.com/zh-cn/help/935834/how-to-enable-ldap-signing-in-windows-server-2008

  2.使用SSL连接(LDAPS)进行LDAP验证。
  详细信息请参阅“intra-mart Accel Platform 安装指南”-“5.3.3.2.4. 使用SSL连接(LDAPS)进行LDAP验证的环境设置”。


使用Module.ldap时,LDAP 签名的处理方法为以下任意一个方法。

  1.难以实现LDAPS连接时,配置为不要求AD的LDAP服务器签名。
   在Active Directory中将“组策略”的“域控制器:LDAP 服务器签名要求”设置为“无”。
   参考:在 WINDOWS Server 2008版本中将LDAP 签名设置为有效的方法
                https://support.microsoft.com/zh-cn/help/935834/how-to-enable-ldap-signing-in-windows-server-2008

  2.将连接环境变量更改为使用SSL连接(LDAPS)进行LDAP验证。


■ LDAP 通道绑定(ChannelBinding)(仅LDAPS连接时有关的设置)

  不是LDAPS连接时,将不使用此设置。

  以下是在LDAP验证功能中,LDAP 通道绑定(ChannelBinding)的处理方法。

  ・ 即使进行 LDAPS连接设置也无法连接时,配置为不使用AD的LDAP 通道绑定(ChannelBinding)(0),或根据客户端使用(1)。
     请参阅以下网站,将对象注册表的值更改为0或1。
     https://support.microsoft.com/zh-cn/help/4034879/

   以下是使用Module.ldap时,LDAP 通道绑定(ChannelBinding)的处理方法。

  ・ 将环境变量更改为LDAPS连接后也无法连接时,配置为不使用AD的LDAP 通道绑定(ChannelBinding)(0),或根据客户端使用(1)。
      请参阅以下网站,将对象注册表的值更改为0或1。
      https://support.microsoft.com/zh-cn/help/4034879/

目前在LDAPS连接且LDAP 通道绑定(ChannelBinding)为有效的情况下,每个环境调查的情况如下。

・在Windows OS中运行intra-mart Accel Platform时,已确认intra-mart Accel Platform不进行特别设置也可以连接。
・在Red Hat Enterprise Linux中运行intra-mart Accel Platform时,已确认intra-mart Accel Platform不进行特别设置也可以连接。

-- 适用对象 -----------------------------------------------------------------
 iAP/Accel Platform/所有更新版本
 --------------------------------------------------------------------------------  


FAQID:1017
这篇文章有帮助吗?
0 人中有 0 人觉得有帮助
由 Zendesk 提供技术支持