Bundesamt für Sicherheit in der Informationstechnik

G 2.71 Fehlerhafte oder unzureichende Planung des LDAP-Zugriffs auf Novell eDirectory

Die LDAP -Zugriffsmöglichkeit auf den Verzeichnisdienst von eDirectory ist ein wesentliches Leistungsmerkmal des Softwareprodukts. Der Zugriff durch die Benutzer erfolgt über das LDAP v3-Protokoll, welches einen weitverbreiteten Internet-Standard darstellt. Betreiber, die eDirectory als eBusiness-Plattform verwenden, stellen ihren Benutzern dabei in der Regel spezielle Clients zur Verfügung. Einfache Web-Browser oder E-Mail-Clients können jedoch ebenfalls als LDAP-Clients agieren.

Die LDAP-Schnittstelle ist außerdem auch dazu geeignet, dass Netzapplikationen und deren Services darüber auf den Verzeichnisdienst zugreifen. Dieser Zugriff bedarf eingehender Planung, insbesondere auch in Bezug auf die für den sinnvollen Einsatz der Anwendungen benötigten eDirectory-Rechte.

Die Planung des LDAP-Zugriffs hängt also wesentlich vom Einsatzszenario des eDirectory ab. Prinzipiell gibt es aus Sicht des eDirectory drei verschiedene Verbindungsarten für einen LDAP-Client:

  • als [Public] Objekt (Anonymous Bind): Hierbei werden keine Authentisierungsinformationen abgefragt und das [Public] Objekt besitzt standardmäßig stets das uneingeschränkte Browse-Recht auf den Verzeichnisbaum.
  • als Proxy User (Proxy User Anonymous Bind): Diese Konfigurationsmöglichkeit kann anstelle des anonymen Login gewählt werden. Der Proxy User ist dabei eDirectory-seitig entsprechend zu konfigurieren.
  • als NDS User (NDS User Bind): Hierbei meldet sich der Benutzer mit seinen eDirectory-Rechten am Verzeichnisdienst an. Das entsprechende Benutzerobjekt muss beim eDirectory angelegt sein.

Es muss in der Planung berücksichtigt werden, ob und welche Daten im Klartext gemäß den organisationsinternen Sicherheitsrichtlinien übertragen werden dürfen. Dies gilt für den Einsatz im Intranet sowie besonders für die Anbindung an das Internet.

Dabei geht es z. B. darum, ob Benutzerpasswörter im Klartext übermittelt werden dürfen und wie konsequent der Einsatz der SSL-Verschlüsselung umgesetzt wird. Damit unterstützt eDirectory entsprechend dem Standard LDAP v3 zwei Verbindungsarten:

  • anonymous bind: ohne Benutzername und Passwort,
  • clear-text password bind: Benutzername und Klartextpasswort zur Authentisierung.

Zusätzlich wird LDAP über SSL unterstützt. Seitens eDirectory muss konfiguriert werden, ob die ersten beiden Verbindungsarten unterstützt werden.

Außerdem wird SSL in zwei Modi unterstützt: ein- und zweiseitige Authentisierung. Bei beidseitiger Authentisierung müssen die erforderlichen Credentials, unter anderem das Wurzelzertifikat der Zertifizierungsstelle, allgemein zugänglich sein.

Durch die oben beschriebene Vielfalt der Konfigurationsoptionen für den LDAP-Zugriff auf den eDirectory-Verzeichnisdienst können sich schnell Fehlkonfigurationen ergeben. Konsequenzen solcher Fehlkonfigurationen könnten sein:

  • Falsche Vergabe von Zugriffsrechten,
  • unautorisierte Zugriffsmöglichkeiten auf den eDirectory-Verzeichnisdienst,
  • Übermittlung von Benutzerpasswörtern im Klartext,
  • Ausspähen von unverschlüsselten Informationen,
  • Fehler beim LDAP-Zugriff, insbesondere für netzbasierte Anwendungen, sowie
  • unzureichende Produktivität des Gesamtsystems.

Stand: Stand 2005