Bundesamt für Sicherheit in der Informationstechnik

G 2.155 Fehlende oder unzureichende Planung von OpenLDAP

Open LDAP ist eine komplexe Anwendung mit einem modularen Aufbau und zudem mit zahlreichen anderen Anwendungen nutzbar. Daraus ergibt sich eine große Komplexität, die eine systematische Planung des OpenLDAP-Einsatzes erfordert.

Bei fehlender oder unzureichender Planung können sich beispielsweise folgende Probleme ergeben:

  • Backends
    Der Zugriff auf die von OpenLDAP verwendete Datenbank erfolgt nicht direkt durch den slapd-Server, sondern wird von einem oder mehreren sogenannten Backends übernommen. Die Auswahl des oder der Backends und die Wahl der zugehörigen Direktiven und Parameter haben unmittelbaren Einfluss auf die Funktionen, die OpenLDAP anbieten kann. Wird beispielsweise das Backend back-ldif zur Datenspeicherung verwendet, um die Installation einer zusätzlichen Datenbank zu umgehen, stehen nur rudimentäre Funktionen des Verzeichnisdienstes zur Verfügung. Die Unterstützung einer großen Menge von Benutzern oder anderen Objekten ist dann nicht sinnvoll möglich.
  • Overlays
    Die Anpassbarkeit von OpenLDAP ergibt sich zu einem großen Teil aus sogenannten Overlays. Diese steuern den Datenfluss von und zu den Backends und ermöglichen so zusätzliche Funktionen, ohne Backends anpassen oder neu programmieren zu müssen. Die mangelnde Planung des Overlay-Einsatzes kann zur Verwendung von Overlays führen, die die gewünschte Funktion nicht oder nicht hinreichend erfüllen, die OpenLDAP nicht benötigte Operationen ausführen lassen oder die OpenLDAP in seiner Funktion beeinträchtigen. Beispielsweise kann eine notwendige Protokollierung von Zugriffen auf den Verzeichnisdienst fehlschlagen oder ineffizient sein, wenn die Debug-Funktion des slapd-Servers selbst und die Overlays auditlog und accesslog nicht korrekt geplant werden. Ein anderes Beispiel ist das Overlay unique, wenn es auf interne Betriebsparameter angewandt wird. Dadurch kann OpenLDAP in nicht definierte Systemzustände geraten. Werden mehrere Overlays zusammen verwendet (gestapelt), so hängt ihre Wirkung auch von der Reihenfolge ihres Aufrufs ab, weshalb eine fehlende Planung Fehler verursachen kann.
  • Anwendungen
    OpenLDAP arbeitet eng mit anderen Anwendungen zusammen und stellt diesen Funktionen zur Verfügung. Beispielsweise kann OpenLDAP die Benutzerverwaltung und Adressbuchfunktion für E-Mail-Programme, Internet-Server und weitere Anwendungen übernehmen. Ohne andere Anwendungen ist OpenLDAP auch nicht in der Lage, die Spezifikationen des Protokolls LDAPv3 zu erfüllen. So wird eine Datenbank (in der Regel BerkeleyDB von Oracle) benötigt, um Verzeichnisdienstobjekte für OpenLDAP zu speichern. Ferner benötigt OpenLDAP Hilfsprogramme zur sicheren Authentisierung (beispielsweise Cyrus-SASL) und zur verschlüsselten Kommunikation (SSL/TLS). Bei der Verbindung mit anderen Anwendungen können aufgrund fehlender oder unzureichender Planung zahlreiche Fehler entstehen. So könnten falsche Versionen eines oder mehrerer Programme eingesetzt werden, deren Kompatibilität nicht gegeben ist. Sehr oft wird auch vergessen, die Schnittstellen zwischen den Anwendungen abzusichern, so dass Daten unverschlüsselt über Netzverbindungen ausgetauscht werden.
  • Systemumgebung
    Bei fehlender oder unzureichender Planung wird OpenLDAP gegebenenfalls in einer unzureichenden Systemumgebung ausgeführt. Wird für die Datenhaltung von OpenLDAP beispielsweise ein verteiltes Dateisystem wie NFS (Network File System) verwendet, so stehen Dateifunktionen, die OpenLDAP bzw. BerkeleyDB verwenden, nicht zur Verfügung. Das trifft unter anderem auf die Locking-Funktion zu, mit der die Datenbank des Verzeichnisdienstes während der Nutzung für den parallelen Zugriff durch einen anderen Benutzer sicher gesperrt werden kann.

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK