Citrixサポートブログ

Citrixサポートブログ>Microsoft セキュリティ アドバイザリ ADV190023とCitrix製品への影響

  • 既知問題・不具合情報
2020.03.04

Microsoft セキュリティ アドバイザリ ADV190023とCitrix製品への影響

はじめまして。Citrix製品のサポートを担当している小路(こうじ)です。

今回の記事は、Microsoft社からリリースが予定されている「Microsoft セキュリティ アドバイザリ ADV190023」(以下ADV190023)の内容とCitrix製品へ与える影響についてのご案内です。

ADV190023の変更は、一部Citrix製品へ影響があることが確認できています。
事前にADV190023の内容や動作を確認しておくことで、運用への影響を抑えることができますので、是非内容をご確認ください。

ADV190023 について

セキュリティ強化を目的として、以下の2点の設定が既定で有効化されます。

 ・LDAPS使用時のLDAPチャネルバインディング
 ・LDAP署名

Active Directory環境(ドメインコントローラやLDAPサーバ)にADV190023のWindows Updateを適用した場合、既存の環境からLDAPへの接続に失敗する場合があります。
2020年2月28日時点のスケジュールは以下となっています。
リリースの詳細はMicrosoft社の情報をご確認ください。

 ・2020年3月
  LDAPチャネルバインディングやLDAP署名に関連する設定の追加やグループポリシー名称が変更されます。
  この段階では、規定値の変更は行われません。
 ・2020年後半
  Windows Updateを適用することで、規定値が有効に設定されます。

<参考情報>
ADV190023 | LDAP チャネル バインディングと LDAP 署名を有効にするためのマイクロソフト ガイダンス
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/adv190023

[AD管理者向け] 2020 年 LDAP 署名と LDAP チャネルバインディングが有効化。確認を!
https://msrc-blog.microsoft.com/2019/10/02/ldapbinding/

Citrix製品への影響について

以下のCitrix製品に影響が発生する場合があります。
Windows環境のXenApp / XenDesktop(Virtual Apps and Desktops)など、その他のCitrix製品への影響は確認されておりません。

 ・Citrix Gateway
 ・NetScaler Gateway
 ・Linux VDA

 ※弊社での取り扱いはありませんが、Citrix ADCも含まれます。
 ※Linux VDAは、XenApp / XenDesktop(Virtual Apps and Desktops)でLinux環境を使用するためのコンポーネントです。Linux VDAを使用しているお客様は、弊社サポートセンターまでお問い合わせください。

上記製品のADV190023の変更による影響は以下となります。

 ・LDAPチャネルバインディングの有効化
  影響はありません。

 ・LDAP署名の有効化
  Citrix製品側の設定にて、LDAP認証が「PLAINTEXT / Port: 389」(平文)となっている場合、
  LDAPへの接続が拒否されます。
  既に「SSL / Port: 636」や「TLS / Port: 389」を使用している場合、影響はありません。

<参考情報>
LDAP Windows Update (ADV190023) and Impact to Citrix Virtual Apps and Desktop Components
https://support.citrix.com/article/CTX269565

Citrix ADC/Gateway LDAP authentication change after Microsoft ADV190023
security update(March 2020)
https://support.citrix.com/article/CTX269461

対処方法

LDAP認証のポリシー設定を「SSL / Port: 636」または「TLS / Port: 389」に変更します。

Citrix Gateway 13.0の管理コンソールで設定する場合の設定方法は、以下となります。

■設定手順

接続中のセッションへの影響はありません。
1)管理コンソールに接続し、以下を表示します。
Configuration - System - Authentication - Basic Policies - LDAP

または
Configuration - Citrix Gateway - Policies - Authentication - LDAP

2)登録されているポリシーを選択し、Editをクリックします。

3)Editをクリックします。

4)Security Typeより、TLSまたはSSLを選択します。

5)OKをクリックします。

ADV190023がリリースされる前に検証する方法

ここでは、「LDAPチャネルバインディング」「LDAP署名」を有効にした場合の動作と対処方法を実施することで正常に接続が行えることを確認します。

■検証環境

 ・Citrix製品
  Citrix Gateway 13.0 Build 47.24
  StoreFront 3.12
  XenApp 7.15 LTSR CU5
 ※事前にCitrix Gateway経由で公開アプリケーションの起動までを確認しています。
 
 ・Active Directory環境
  ドメインコントローラ: Windows Server 2012R2 証明書インストール済み

■前提:LDAPチャネルバインディング、LDAP署名の有効化
ADV190023は、未リリースのため、ドメインコントローラサーバのレジストリを手動で変更することにより「LDAPチャネルバインディング」「LDAP署名」を有効化しています。
設定の詳細はMicrosoft社またはOSベンダーへご確認ください。

LDAPチャネルバインディング
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
名前:LdapEnforceChannelBinding
種類:REG_DWORD
データ:0(無効)2(有効)

LDAP署名
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
名前:LDAPServerIntegrity
種類:REG_DWORD
データ:1(無効)2(有効)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap
名前:ldapclientintegrity
種類:REG_DWORD
データ:1(無効)2(有効)

<参考情報>
LdapEnforceChannelBinding レジストリ エントリの設定による SSL/TLS 接続の LDAP 認証の安全性の向上
https://support.microsoft.com/ja-jp/help/4034879/how-to-add-the-ldapenforcechannelbinding-registry-entry

How to enable LDAP signing in Windows Server 2008
https://support.microsoft.com/en-us/help/935834/how-to-enable-ldap-signing-in-windows-server-2008
※弊社検証環境での動作確認結果や一般サイトの情報より、上記URLに記載されているレジストリの場所がWindows Server 2012R2では異なることを確認したため、本文内の設定で動作確認をしています。

<動作確認1:LDAP署名、LDAPチャネルバインディングを有効化した場合>
Citrix Gateway側の設定が「PLAINTEXT / Port: 389」となっている状態で、ADV190023が適用された場合の動作を確認します。

1.ドメインコントローラのレジストリエディタにて、LDAPチャネルバインディング、LDAP署名を有効化します。

LdapEnforceChannelBinding:2
LDAPServerIntegrity:2
ldapclientintegrity:2

2.設定が有効になっていることを確認します。

 1)ドメインコントローラサーバにてLdp.exeを起動します
 2)接続 - 接続を選択し、以下を入力して、OKをクリックします。

  サーバー:ドメインコントローラサーバのFQDN
  ポート:389

 3)接続 - バインドを選択し、以下を設定して、OKをクリックします。

  ユーザー:接続テストを行うユーザー
  パスワード:ユーザーのパスワード
  バインドの種類:簡易バインドを選択

 4)LDAP署名が有効な場合、以下の結果となります。

--------------------
res = ldap_simple_bind_s(ld, 'korotest11', <unavailable>); // v.3
Error <8>: ldap_simple_bind_s() failed: 強力な認証が必要です
Server error: 00002028: LdapErr: DSID-0C090202, comment: The server requires binds to turn on integrity checking if SSL\TLS are not already acive on the connection, data 0, v2580
Error 0x2028 このサーバーには、さらに強力なセキュリティで保護された認証方法が必要です。
--------------------

※LDAP署名が無効な場合は、以下の結果となります。

--------------------
res = ldap_simple_bind_s(ld, 'korotest11', <unavailable>); // v.3
Authenticated as: 'KORO\korotest11'.
--------------------

3.管理コンソールに接続し、LDAP認証の設定がPLAINTEXTになっていることを確認します。

※この時点で、Connection SettingsよりTest Network connectivityを実行するとエラーとなってしまいます。

4.クライアント端末からVirtual Serverのアドレスに接続し、ログインを確認します。

ログインに失敗してしまいます。
管理コンソールのログ上でも確認ができます。

<動作確認2:対処方法を実施>
対処方法の中から「TLS / Port: 389」へ設定を変更した場合の動作を確認します。
ドメインコントローラの設定は動作確認1から変更していません。

1.管理コンソールに接続し、LDAP認証の設定をTLSに変更します。

※この時点で、Connection SettingsよりTest Network connectivityを実行すると正常に接続ができることを確認できます。

2.クライアント端末からVirtual Serverのアドレスに接続し、ログインを確認します。

正常にログインができました。
管理コンソール上のログでも正常にログインできたことが確認できます。

まとめ

「Microsoft セキュリティ アドバイザリ ADV190023」の影響を受けるケースは、以下のすべてに当てはまる場合となります。

 ・2020年後半にリリース予定のWindows Updateを適用する
 ・Citrix Gateway / NetScaler Gatewayを利用している
 ・Citrix Gateway / NetScaler GatewayのLDAP認証でPLAINTEXTを使用している

ADV190023の適用まで時間がありますが、事前にご利用中の環境で動作確認を実施してみてください。




Citrixの設定・トラブル対処方法の良くあるFAQ10選プレゼント中

アシストのCitrixサポートセンターに良くある設定・トラブル対処方法のFAQ10選の資料を無料プレゼント中です。また、Citrix XenApp/XenDesktopの問題発生時に原因を切り分ける方法も掲載しております。以下のバナーからお気軽にダウンロードください。


筆者情報
 技術部 システムソフトウェア課 小路晃生

 2014年入社、仮想化サポート6年目。
 会社では朝早くに居場所のいい席を確保し、
 家では猫と居場所の取り合いをして負ける毎日を過ごしています。

関連している記事

ページの先頭へ戻る