Bundesamt für Sicherheit in der Informationstechnik

G 3.53 Fehlerhafte Konfiguration des LDAP-Zugriffs auf Novell eDirectory

Der LDAP -Zugriff auf den Verzeichnisdienst von eDirectory eignet sich vor allem für zwei Szenarien:

  • den Benutzerzugriff auf den Verzeichnisdienst über das Internet und
  • den Zugriff auf den Verzeichnisdienst durch weitere Applikationen.

Prinzipiell gibt es aus Sicht des eDirectory drei Arten des Benutzerzugriffs über LDAP:

  • als [Public] Objekt (Anonymous Bind),
  • als Proxy User (Proxy User Anonymous Bind),
  • als NDS User (NDS User Bind).

Dabei ist zu beachten, dass das [Public] Objekt im eDirectory standardmäßig stets das Browse-Recht über den Verzeichnisbaum besitzt, sofern dieses Recht nicht explizit entzogen wurde. Weiterhin ist zu berücksichtigen, dass ohne die Konfiguration geeigneter Authentisierungsmechanismen die Gefahr besteht, dass die Benutzerpasswörter im Klartext übertragen werden. Eine Verschlüsselung der Übertragung ist nur dann gegeben, wenn die Kommunikation zwischen Client und eDirectory-Server über SSL erfolgt.

Bei der SSL-Konfiguration ergeben sich ebenfalls Fehlermöglichkeiten, welche zu einer Herabsetzung des Sicherheitsniveaus oder der Performance führen können.

Weiter ist zu beachten, welche LDAP-Version die Clients unterstützen und welche Konfigurationsmöglichkeiten dort bestehen. Unter Umständen kann es dabei zu Missverständnissen kommen und die Sicherheit des Betriebs beeinträchtigt werden.

Für die Anbindung von Netzapplikationen per LDAP an den eDirectory-Verzeichnisdienst ergeben sich prinzipiell die gleichen Gefährdungen wie beim Zugriff von Clients, nämlich:

  • der unautorisierte Zugriff auf das Verzeichnis,
  • der Verlust der Integrität und der Vertraulichkeit der im Verzeichnis gehaltenen Daten,
  • die ungewollte Einrichtung einer Hintertür für das System.

Stand: Stand 2006

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK