はじめに
マイクロソフトのセキュリティアドバイザリ ADV190023 にて、2020 年初頭に AD(Active Directory) ドメインコントローラで LDAP 署名と LDAP チャネルバインディングを規定で有効化される更新プログラムがリリースされる予定です。
参考)Microsoft Security Response Center - [AD管理者向け] 2020 年 LDAP 署名と LDAP チャネルバインディングが有効化。確認を!
概要
Unified CM は、LDAP シンプルバインドを利用していますが、LDAP 署名必須の有効化により、AD サーバへの非 SSL/TLS シンプルバインドは利用できなくなります。
Unified CM にて、LDAPS ではなく LDAP を使用する設定としている場合、LDAP 署名を有効とした AD サーバへの接続に失敗します。
対策
Unified CM にて、LDAP 署名が有効とした AD サーバへ接続するには、LDAPS を使用する必要があります。
以下、本ドキュメントの「 Unified CM の LDAPS 設定」にて、LDAPS の必要設定をご確認ください。
Unified CM の LDAPS 設定
証明書のアップロード
LDAPS を使用するには、Unified CM にて AD サーバ証明書が信頼されている必用があります。
- AD サーバにて、CA 局より発行されたサーバ証明書を使用している場合、CA 局のルート証明書および中間証明書(ある場合)を Unified CM の Tomcat-trust にアップロードします。
- AD サーバにて、自己証明書を使用している場合、AD サーバの自己証明書を Unified CM の Tomcat-trust にアップロードします。
LDAP ディレクトリ
LDAP ディレクトリを使用している場合、Cisco Unified CM の管理 > システム > LDAP > LDAP ディレクトリにて、下記設定を行い、LDAPS に変更します。
- サーバのホスト名または IP アドレス: AD サーバ証明書の CN と同じに設定します。
- LDAP ポート: AD サーバ側に合わせて設定します。通常、636または3269を多く使用します。
- TLS を使用: 当該チェックボックスにチェックを入れます。
詳細につきましては、システム設定ガイドの「LDAP ディレクトリの同期の設定」をご参照ください。
LDAP 認証
LDAP 認証を使用している場合、Cisco Unified CM の管理 > システム > LDAP > LDAP 認証にて、下記設定を行い、LDAPS に変更します。
- サーバのホスト名またはIPアドレス: AD サーバ証明書の CN と同じに設定します。
- LDAP ポート: AD サーバ側に合わせて設定します。通常、636または3269を多く使用します。
- TLS を使用: 当該チェックボックスにチェックを入れます。
詳細につきましては、システム設定ガイドの「 LDAP 認証の設定」をご参照ください。
ディレクトリサービス
LDAP ディレクトリを連絡先ソースとして使用している場合、Cisco Unified CM の管理 > ユーザの管理 > ユーザ設定 > 該当ディレクトリサービスにて、下記設定を行い、LDAPS に変更します。
- ホスト名/IP アドレス: AD サーバ証明書の CN と同じに設定します。
- ポート: AD サーバ側に合わせて設定します。通常、636または3269を多く使用します。
- プロトコル: SSL を選択します。
詳細につきましては、システム設定ガイドの「 ディレクトリサービスの追加」をご参照ください。
参考情報
