Bundesamt für Sicherheit in der Informationstechnik

G 3.111 Unzureichende Trennung von Offline- und Online-Zugriffen auf OpenLDAP

Für den Zugriff auf die durch Open LDAP verwalteten Daten, das heißt Objekte im Verzeichnisdienst ebenso wie Konfigurationseinstellungen, bestehen verschiedene Zugriffsmöglichkeiten, nämlich

  • über das Protokoll LDAP mittels der ldap*-Werkzeuge bei laufendem slapd-Server (auch als Online-Zugriff bezeichnet),
  • per Direktzugriff auf die Datenbankdateien der BerkeleyDB mittels der slap*-Werkzeuge von OpenLDAP, unabhängig vom slapd-Server (auch als Offline-Zugriff bezeichnet),
  • per Datenbankmanipulation mittels der BerkeleyDB-Werkzeuge von Oracle und
  • durch die direkte Manipulation von Konfigurationsdateien im Dateisystem.

Die verschiedenen Zugriffsmöglichkeiten und Werkzeuge erfüllen dabei ganz oder teilweise identische Funktionen. Werden die Zugriffsmöglichkeiten vermischt oder wird die jeweilige Wirkungsweise nicht verstanden, können zahlreiche Fehlersituationen auftreten.

Beispiele:

  • In einem Unternehmen werden die von OpenLDAP gespeicherten Datensätze mithilfe des Werkzeugs slapcat offline im Format LDIF gesichert. Bei einer Rücksicherung versucht der Administrator, die Datensicherung über die Applikation ldapadd in die leere Datenbank einer laufenden OpenLDAP-Instanz zu laden. Dabei wird übersehen, dass der Export mittels slapcat die Datensätze in der Reihenfolge gesichert hat, wie sie physisch in der Datenbank vorgefunden wurden. Das ldap*-Werkzeug ldapadd erwartet die Datensätze aber gemäß der hierarchischen Verzeichnisstruktur. Der Import führt zu einer inkonsistenten Datenbank, da "ldapadd" versucht, Datensätze einzufügen, deren übergeordnete Einträge noch nicht importiert wurden.
  • Ein Anwender von OpenLDAP führt Datensicherung und Rücksicherung der Datenbestände über die BerkeleyDB-Werkzeuge durch. Er umgeht OpenLDAP und sichert die Datenbank mittels des Programms "db_dump" und spielt die Daten mittels "db_load" wieder ein. Da bei dieser Sicherung anwendungsspezifische Zeitstempel nicht korrekt wiederhergestellt werden, ist die wiederhergestellte Datenbank für OpenLDAP inkonsistent und nicht nutzbar.

Stand: 13. EL Stand 2013