Bundesamt für Sicherheit in der Informationstechnik

G 3.110 Fehlerhafte Konfiguration von OpenLDAP

Open LDAP ist ein Verzeichnisdienst mit umfangreichen Funktionen. Die Funktionsvielfalt wird durch den modularen Aufbau der Anwendung und die umfassende Anpassbarkeit als Open Source Software erreicht. Darüber hinaus handelt es sich um eine Client-Server-Architektur, bei der sowohl auf Server- als auch auf Client-Seite Konfigurationen vorzunehmen sind. Insgesamt ist OpenLDAP eine hochgradig komplexe Anwendung.

Bei einer fehlerhaften Konfiguration können sich beispielsweise folgende Gefährdungen ergeben:

  • Administratoren könnten Anpassungen an der Konfiguration von OpenLDAP vornehmen, die technisch möglich, aber fachlich nicht zulässig sind. Zum Beispiel könnte ein Administrator ein Standard-Schema von OpenLDAP verändern, um zusätzliche Attribute für Verzeichnisdienstobjekte zu gewinnen. Dies führt beim Einsatz von weltweit einheitlichen Standard-Schemas zu Inkompatibilitäten mit anderen Verzeichnisdiensten und kann Probleme bei Updates von OpenLDAP oder bei der Migration auf einen anderen Verzeichnisdienst verursachen. Durch falsche Implementierung kann auch der LDAP-Standards verletzt werden.
  • Fehlerhafte Einträge in den zentralen Konfigurationsdateien des slapd-Servers können zu unerwünschtem Verhalten des Servers führen oder diesen unbrauchbar machen, zum Beispiel wenn eine Datenbank versehentlich in einen Nur-Lese-Zustand versetzt wird. Bei fehlerhaften Anweisungen an Backends ist denkbar, dass es zu Datenverlusten kommt, wenn diese Anweisungen beispielsweise nicht zur verwendeten Datenbank passen.
  • OpenLDAP kann aus den für eine Betriebssystemdistribution bereitgestellten Binärpaketen installiert werden. Bei einigen Distributionen wird der slapd-Server nach Installation automatisch mit einer Standardkonfiguration gestartet. Eine solche Standardkonfiguration ist häufig unzureichend, insbesondere werden dabei in der Regel keine Maßnahmen wie die Verschlüsselung von Kommunikationsverbindungen konfiguriert.
  • Konfigurationseinstellungen können in einer falschen Datei vorgenommen werden. Werden zum Beispiel Benutzer-Einstellungen statt in der korrekten Datei (in der Regel ~/.ldaprc) in der Datei für globale Client-Einstellungen (in der Regel ldap.conf) eingetragen, bleiben sie meist wirkungslos. Werden Client-Einstellungen in die Konfiguration des Servers (in der Regel slapd.conf) eingefügt, können sie die Funktionsfähigkeit des gesamten Systems beeinträchtigen. Das gilt beispielsweise, wenn die für Clients sinnvolle Einstellung, dass sich ein Kommunikationspartner mit einem Zertifikat authentisieren muss, auf Server angewandt wird. Die meisten Clients verfügen nicht über ein geeignetes Zertifikat.
  • Zugriffskontrolllisten (Access Control Lists, ACLs) stellen einen grundlegenden Sicherheitsmechanismus von OpenLDAP dar. Die Wirksamkeit der Zugriffsrechteverwaltung hängt entscheidend von der korrekten Konfiguration der ACLs ab. Soll beispielsweise einem bestimmten Benutzer ein Zugriff auf den Verzeichnisdienst untersagt werden, kann ein Administrator, dies durch eine entsprechende Zugriffsregel am Ende des bestehenden Regelwerkes umsetzen. Eine solche Regel wird aber oft nicht wirken, da die Prüfung des Regelwerks nach dem ersten zutreffenden Kriterium abgebrochen wird.

Stand: 13. EL Stand 2013