Bundesamt für Sicherheit in der Informationstechnik

G 3.51 Falsche Vergabe von Zugriffsrechten im Novell eDirectory

Da eDirectory eine Reihe sensitiver Daten der Systembenutzer und -Ressourcen enthält und zudem eine enge Beziehung zu dem unterliegenden Betriebssystem besteht, ist die Vergabe von Zugriffsrechten auf das eDirectory besonders wichtig.

Die Zugriffsrechte auf eDirectory-Objekte werden über so genannte Access Control Lists ( ACL s) vergeben. Dabei gibt es Zugriffsrechte auf das eDirectory-Objekt an sich sowie auf einzelne Attribute eines Objekts.

Auf Objektebene sind dabei folgende Rechte (Privilegien) zu vergeben: Browse, Create, Delete, Rename und Supervisor. Auf Attributsebene sind dies: Compare, Read, Add or Delete Self, Write, Supervisor sowie Inheritance Control. Compare wird dabei als Teil des Read-Rechtes behandelt, d. h. sofern das Read-Recht vergeben ist, so besteht auch automatisch das Recht Compare.

Die Access Control Lists selbst sind Attribute (Properties) zu den jeweiligen eDirectory-Objekten. Die Zugriffsrechte auf eDirectory-Objekte vererben sich standardmäßig von Vater- auf Kindobjekte innerhalb der Baumhierarchie. Um zu verhindern, dass Brüche dieses Vererbungsmechanismus durch Partitionierung des eDirectory-Verzeichnisses entstehen, wird an das Wurzelobjekt der Partition eine inherited ACL angehängt. Auf die Vererbung kann mit Hilfe so genannter Masken oder Inherited Rights Filter Einfluss genommen werden.

Die Zugriffsrechte auf Attributsebene werden standardmäßig nicht entlang der Verzeichnishierarchie weitergeleitet. Dies kann jedoch über das Attributsrecht Inheritance Control konfiguriert werden. Damit lässt sich auch das besonders kritische Self-Recht kontrollieren.

Die Zugriffsrechte werden explizit mittels so genannter Trustee-Anweisungen vergeben. Dabei werden die Zugriffsrechte (Privilegien) auf das Target-Objekt (Ziel) durch andere eDirectory-Objekte (Benutzer, Benutzergruppen, Services, Anwendungen, Server, etc.) direkt in die ACL des Target-Objekts eingetragen.

Weiterhin können Zugriffsrechte indirekt durch so genannte Security-Äquivalenzen vergeben werden. Beispiel: Target-Objekt X erhält (mindestens) die gleichen Zugriffsmöglichkeiten wie Target-Objekt Y, d. h. die Trustees von Objekt Y werden automatisch auch Trustees von Objekt X. Dies wird ebenfalls als ACL-Eintrag von Objekt X konfiguriert.

Bei einem konkreten eDirectory-Zugriff werden stets die so genannten effektiven Rechte berechnet, d. h. das Endresultat der oben beschriebenen Konfigurationen.

Diese Vielfalt an Konfigurationsmöglichkeiten der eDirectory-Zugriffsrechte beinhaltet die Gefahr, dass inkonsistente oder falsche Zugriffsmöglichkeiten vergeben werden. Sofern die Zugriffsrechte im eDirectory falsch vergeben werden, ist die Sicherheit des Gesamtsystems erheblich gefährdet. Dies betrifft die Vertraulichkeit und die Integrität von Daten sowie mögliche Hintertüren für weitreichende Systemangriffe.

Ein besonders kritischer Punkt ist auch die Vergabe der Administrationsrechte. eDirectory ermöglicht die Umsetzung eines rollenbasierten Administrationskonzeptes sowie die Delegation einzelner Administrationsaufgaben durch die Vergabe entsprechender Zugriffsrechte. Bei einer falschen Vergabe dieser Rechte wird das gesamte Administrationskonzept in Frage gestellt und unter Umständen sogar die Administration des Verzeichnissystems blockiert.

Stand: Stand 2005