Bundesamt für Sicherheit in der Informationstechnik

M 2.240 Planung des Einsatzes von Novell eDirectory im Extranet

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

eDirectory lässt sich auch als E-Business-Plattform im Internet betreiben. In diesem Zusammenhang fungiert das eDirectory oft als LDAP -Server, der Daten für seine Benutzer in seinem Verzeichnisdienst bereithält. Die Benutzeranbindung erfolgt dabei über das LDAP-Protokoll, welches auf TCP/IP aufsetzt.

Prinzipiell können sich Benutzer auf drei verschiedene Arten via LDAP mit eDirectory verbinden:

  • als [Public] Objekt (Anonymous Bind),
  • als Proxy User (Proxy User Anonymous Bind),
  • als NDS User (NDS User Bind).

Hier ist bei der Planung speziell zu berücksichtigen, ob ein Anonymous Bind zugelassen wird oder nicht. Standardmäßig hat das [Public] Objekt uneingeschränktes Browse-Recht auf den eDirectory-Baum.

Die Planung sollte eine Aufteilung der Verzeichnisdaten in drei Kategorien vorsehen:

  • Daten, auf die über anonymen Login zugegriffen werden kann,
  • Daten, auf die nach erfolgreicher Authentisierung zugegriffen werden darf, sowie
  • Daten, auf die von außen prinzipiell nicht zugegriffen werden darf.

Die Verzeichnisdaten sollten entsprechend dieser Aufteilung in getrennten Bereichen gespeichert werden. Dies erleichtert unter anderem die Durchführung von Datensicherungen und die Sicherstellung des korrekten Zugriffsschutzes. Ein eDirectory-Server mit direkter Internet-Anbindung sollte möglichst keine Daten halten, auf die von außen nicht zugegriffen werden braucht.

Weiterhin ist bei Bedarf der Einsatz von SSL für den LDAP-Zugriff auf das eDirectory zu planen. Es ist dann zu entscheiden, ob die Authentisierung über Passwörter oder Zertifikate erfolgen soll. Wird SSL nicht eingesetzt, so muss entschieden werden, ob Passwörter im Klartext übertragen werden können oder ob die Option allowing cleartext passwords ausgeschaltet wird.

Da der eDirectory-Server in diesem Einsatzszenario über eine direkte Internet-Anbindung verfügt, ist der Einsatz einer Firewall zu planen. Eine geeignete Vorgehensweise hierzu findet sich in Baustein B 3.301 Sicherheitsgateway (Firewall) .

Prüffragen:

  • Erfolgt die Strukturierung des eDirectory im Extranet anhand der Verzeichnisdaten, auf die von außen anonym, nach erfolgreicher Authentisierung oder gar nicht zugegriffen werden darf?

  • Ist die Form der Authentisierung für den Zugang zum eDirectory von außen festgelegt?

  • Werden die für Zugriffe auf das eDirectory übertragenen Daten angemessen abgesichert, z. B. durch Verschlüsselung?

Stand: 13. EL Stand 2013