Active Directory環境でのLDAP署名、LDAPチャネルバインディングの有効化（ADV190023）に伴う影響について【更新】

2020年4月10日
コニカミノルタジャパン株式会社

平素はコニカミノルタ製品をご愛用いただき、誠にありがとうございます。

2020年後半にマイクロソフト社が公開予定のWindowsセキュリティ更新プログラムにて、Active Directory環境内のLDAP通信の安全性を向上するために、LDAP署名、およびLDAPチャネルバインディング（LDAPS使用時）を規定で有効化するとの情報がアナウンスされておりました。
しかしながら、本件に関し、2020年3月10日にマイクロソフト社からLDAP 署名およびチャネルバインディングの有効化の強制実施を中止すると正式にアナウンスされました。

マイクロソフト社からの情報

ADV190023 | LDAP チャネルバインディングと LDAP 署名を有効にするためのマイクロソフトガイダンス
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/adv190023

マイクロソフト社が予定していた機能の有効化は実施されないため、弊社の情報機器製品への影響はございません。

お客様自身でセキュリティ強化のため、Active Directoryのドメインコントローラーで機能の有効化を実施される場合、弊社の情報機器製品のLDAP連携機能に影響がございます。そのため、以下に記載する影響内容と回避策を事前にご確認の上実施願います。また、お客様のネットワーク環境によっては、認証速度に影響がでる場合がございますので、事前にテストを行うことを推奨します。

LDAP署名とLDAPチャネルバインディングを有効化した場合の、複合機（MFP）のLDAP連携機能への影響

1.以下の設定で外部サーバー認証を使用時に、コントロールパネル、またはプリンタードライバーからのユーザー名、パスワード入力での認証が失敗します。

サーバータイプ：Active Directory
サーバータイプ：LDAP（SSL/TLS有効かつ認証方式がSimple以外）

2.以下の機能でSSL/TLS有効かつ認証方式がGSS-SPNEGO以外の場合に、認証が失敗します。

LDAP-ICカード認証
プリント簡易認証
LDAPアドレス検索

回避策

1.外部サーバー認証のサーバータイプがActive Directoryの場合、MFP側の回避策はございません。対策ファームウェアが提供されるまで、LDAP署名の有効化はお控えください。外部サーバータイプがLDAPの場合、サーバー側がLDAPSに対応していれば、MFP側でSSL/TLS有効かつ認証方式をSimpleに設定をお願いします。

2.サーバー側がLDAPSに対応している場合、MFP側でSSL/TLSを有効かつ認証方式としてGSS-SPNEGOの設定をお願いします。

本件に関するお問い合わせ先

お問合わせにつきましては当該機器のサービス管理店へご用命願います。