Bundesamt für Sicherheit in der Informationstechnik

M 2.403 Planung des Einsatzes von Verzeichnisdiensten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Fehler in der Konzeption eines Verzeichnisdienstes sind nach erfolgter Installation nur mit beträchtlichem Aufwand zu berichtigen. Daher muss der Einsatz von Verzeichnisdiensten sorgfältig geplant werden.

Bevor ein Verzeichnisdienst eingeführt wird, muss entschieden werden, für welche Einsatzzwecke er genutzt werden soll. Von der vorgesehenen Nutzungsart hängen unter anderem die erforderlichen Überlegungen zur Struktur des Verzeichnisdienstes ab. Auch die im Verzeichnisdienst zu speichernden Daten beeinflussen entscheidend die Art und den Umfang der notwendigen Planungen. Je nach Komplexität des Verzeichnisdienstes können die Planungen zur Konzeption des Verzeichnisdienstes mehrere Monate andauern, und auch ein Jahr überschreiten. Von dem geplanten Einsatzszenario hängen die festzulegenden Sicherheitsrichtlinien ab.

Beispiele für Nutzungsmöglichkeiten eines Verzeichnisdienstes sind:

  • Adressbuch für Telefonnummern, Postadressen, usw.
  • Einbindung in E-Mail-Systeme
  • digitale Zertifikate, PKI (Public Key Infrastrukturen)
  • netzweite Konfigurationsinformationen von IT-Systemen und Anwendungen
  • einheitliches zentrales, ortsunabhängiges Benutzermanagement
  • Authentikation von Menschen und Prozessen zur Anmeldung an IT-Systemen im Netz

Die genannten Beispiele zeigen eine Auswahl an möglichen Nutzungsarten eines Verzeichnisdienstes und variieren in Art, Größe und Ausprägung. Kombinationen von möglichen Anwendungszwecken sind nicht nur denkbar, sondern stellen sogar eine Stärke der Verzeichnisdienste dar. Gleichzeitig erhöht sich damit die Komplexität des Verzeichnisdienstes, was eine entsprechend sorgfältige Planung seines Einsatzes voraussetzt.

Weitergehende Fragestellungen in der Planung ergeben sich bei der Festlegung, ob der Verzeichnisdienst oder Teile davon außerhalb des Intranet einer Organisation erreichbar sein sollen.

  • Wie wird der Zugang zum Verzeichnisdienst von außen abgesichert?
  • Wie ist der Zugriff auf die Daten des Verzeichnisdienstes abzusichern?
  • Welche Authentisierungsmechanismen werden benötigt?
  • Welche Daten sollen von außen anonym erreichbar sein?
  • Welche Daten sollen nach erfolgter Authentisierung erreichbar sein?
  • Welche kryptographischen Verfahren sind erforderlich, um die Vertraulichkeit bzw. Integrität der übertragenen Daten sicherzustellen?

Entwurf der Baumstruktur

Die Anforderungen an den Verzeichnisdienst sind zunächst zu analysieren und zu dokumentieren. Neben der Festlegung der Nutzung des Verzeichnisdienstes ist ein Modell aus Objektklassen und Attributtypen zu entwickeln, das den Ansprüchen der vorgesehenen Nutzungsarten genügt.

Für den Entwurf der Baumstruktur im Directory Information Tree ( DIT ) ist zunächst ein oberstes Element, das Root-Element, zu wählen. Prinzipiell lassen sich alle weiteren Objekte direkt unterhalb dieser Wurzel anordnen. Für ein Verzeichnis der Mitarbeiter einer Organisation oder der Benutzer in einem Netz ist es allerdings sinnvoll, eine Strukturierung nach Abteilungen vorzunehmen. Die übliche Objektklasse zur Darstellung solcher Organisationseinheiten ist die "organizationalUnit".

Anschließend sind die einzelnen Personen bzw. Benutzer als Objekte im Verzeichnisbaum abzubilden. Dazu existieren bereits zahlreiche Schemata, die mit dem Verzeichnisdienst schon installiert wurden oder eingebunden werden können und je nach erforderlicher Informationstiefe unterschiedliche Klassen zur Verfügung stellen.

Die einfachste Objektklasse hierzu ist "person", die im Grunde nur Informationen über den Namen einer Person, Telefonnummer sowie über ein Passwort vorsieht.

Im Attribut "userPassword" sollten nie unverschlüsselte Passwörter gespeichert werden. Es empfiehlt sich, hier nur einen Hashwert zu speichern. Besser noch sollten aber weder die Passwörter noch deren Hashwerte in einem allgemein lesbaren Bereich des Verzeichnisdienstes, sondern in einer speziellen Bereich gespeichert werden, der ausschließlich für die Authentisierung vorgesehen ist.

Davon abgeleitet kann die "organizationalPerson" verwendet werden, die diverse Adressen und (Telefon-)Nummern sowie Abteilungszugehörigkeiten kennt, um die Organisationszugehörigkeit von Personen zu beschreiben. Die wiederum davon abgeleitete Klasse "inetorgPerson" aus dem gleichnamigen Schema bietet darüber hinaus Attribute für weitere Telefonnummern, Anschriften und E-Mail-Adressen bis hin zum Autokennzeichen. Diese Klasse kann benutzt werden, um Personen außerhalb ihrer internen Organisationszugehörigkeit zu beschreiben, z. B. für die Nutzung von Internet-Diensten.

Schemata, die typischerweise mit Verzeichnisdiensten geliefert werden, enthalten bereits rund tausend Objektklassen und Attribute. Daraus sind die geeigneten Elemente für den Einsatz eines Verzeichnisdienstes auf Grundlage der vorhergehenden Analyse der Anforderungen auszuwählen. Im Allgemeinen reichen die vordefinierten Klassen dazu aus. Dabei kann es auch praktikabel sein, ein vorhandenes Attribut in einem anderen Kontext zu benutzen und ihm so eine andere Bedeutung zu geben, ohne seinen Namen zu ändern. Von dieser Möglichkeit sollte nur Gebrauch gemacht werden, wenn sichergestellt ist, dass Verwechslungen vermieden werden können und Fehlanwendungen dieses Objektes damit ausgeschlossen sind.

Für den Fall, dass vorhandene Objektklassen und Attributtypen für den geplanten Einsatzzweck nicht ausreichend sind, ist es möglich, ein vorhandenes Schema zu erweitern. Dabei ist zu beachten, dass jedes Schemaobjekt eine Objekt-ID (OID) besitzt, an der es eindeutig erkannt werden kann. OID-Namensräume werden durch die Internet Assigned Numbers Authority (IANA) verwaltet und fest einem Besitzer zugeordnet. Daher sollten Änderungen an einem bestehenden Schema eines fremden Besitzers grundsätzlich vermieden werden.

Für die Erstellung eigener Schemaobjekte besteht die Möglichkeit, unter www.iana.org einen eigenen Namensraum anzufordern. Unter der zugeteilten OID-Stammnummer dürfen eigene Verzweigungen definiert werden.

Wenn der Verzeichnisdienst primär der Verwaltung von IT-Ressourcen dient, sollte beim Aufbau der Baumstruktur ausreichend darauf geachtet werden, dass die Struktur auch auf administrative Gegebenheiten abgestimmt wird. Eine zu detaillierte Nachbildung der Organisationsstruktur in der Baumstruktur sollte vermieden werden, da dies Probleme in der Administration des Verzeichnisdienstes nach sich ziehen kann.

Die Baumstruktur sollte nicht zu flach gewählt werden, damit sich Teile des Verzeichnisbaumes in verschiedene Partitionen zerlegen lassen und so auf verschiedene Server im Netz verteilt werden können. Dies hat außerdem den Vorteil, dass sich eine Replizierung zwischen den Verzeichnisdienst-Servern nicht auf den gesamten Baum auswirkt. Weitere Aspekte zur Konzeption eines verteilten Verzeichnisdienstes sind in M 2.409 Planung der Partitionierung und Replikation im Verzeichnisdienst beschrieben.

Werden Verzeichnisdienste für verschiedene Nutzungsmöglichkeiten eingesetzt, sollten die Verzeichnisdaten möglichst entsprechend ihres Schutzbedarfs in getrennten Bereichen auf dem Verzeichnisdienst-Server gespeichert werden. Bei Bereichen mit unterschiedlichem Schutzbedarf erleichtert dies unter anderem die Durchführung von Datensicherungen und die Konfiguration des jeweiligen korrekten Zugriffsschutzes. Auf einem Verzeichnisdienst-Server mit direkter Internet-Anbindung sollten außerdem keine Daten gehalten werden, auf die von außen nicht zugegriffen werden soll.

Im Rahmen der Verzeichnisdienst-Planung sind folgende Aspekte zu berücksichtigen:

  • Welche Einsatzzwecke und welche Aufgaben sollen erfüllt werden und welche Informationen sollen enthalten sein?
  • Welche Gliederung in Standorte, Organisationen, Organisationseinheiten und weitere Objekte soll gewählt werden?
  • Welche Objektklassen werden benötigt und welche verbindlichen oder optionalen Attribute sollen diese haben?
  • Welche Zugriffsrechte auf die Informationen sollen über die verschiedenen Verzeichnisdienst-Schnittstellen den Benutzern gegeben werden?
  • Welche Maßnahmen, z. B. das Signieren von LDAP -Pakete, sind geplant, um das unbefugte Sammeln von Daten aus dem Verzeichnisdienst wirksam zu unterbinden?

Generell ist die geplante Verzeichnisdienst-Struktur vollständig zu dokumentieren. Dies trägt maßgeblich zur Stabilität, konsistenter Administration und damit zur Systemsicherheit bei. Es sollte insbesondere festgehalten werden:

  • Welche Objektklassen werden in welcher Weise verwendet, speziell welche Attribute werden für welche Inhalte genutzt?
  • Welche Erweiterung des Schemas werden mit welcher Begründung durchgeführt?

Für jedes Verzeichnisdienst-Objekt sollte dokumentiert sein:

  • Name und Position im Verzeichnisdienst-Baum, wie z. B. "StandortBonn", Vater-Objekt: OU "BSI",
  • welchem Zweck das Objekt dient, wie z. B. Drucker im Netz,
  • welche administrativen Zugriffsrechte für das Objekt und dessen Attribute vergeben werden sollen, wie z. B. vollständig verwaltet von "Admin1" und
  • wie die Vererbung von Verzeichnisdienst-Rechten konfiguriert werden soll, wie z. B. blockieren oder filtern der Rechtevererbung.

Personenbezogene Daten im Verzeichnisdienst

Grundsätzlich sollte bei der Planung des Einsatzes eines Verzeichnisdienstes, der auch personenbezogene Daten enthält, der Datenschutzbeauftragte der Institution beteiligt werden, damit die Belange des Datenschutzes zur Wahrung des informationellen Selbstbestimmungsrechts frühzeitig berücksichtigt werden. Auch die Mitarbeitervertretung in Form des Personalrats oder Betriebsrats sollte rechtzeitig beteiligt werden.

Genauso wie für andere Daten im Verzeichnisdienst gilt für die personenbezogenen Daten, dass stets ein angemessener Schutz der Vertraulichkeit und der Integrität der Verzeichnisdienst-Einträge sowie ihrer Verfügbarkeit und Aktualität zu gewährleisten ist.

Über die grundlegenden Maßnahmen hinaus ist beim Einsatz von Verzeichnisdiensten Folgendes zu beachten:

  • Personenbezogene Einträge im Verzeichnisdienst sollten auf die für den jeweiligen Nutzungszweck notwendigen Angaben beschränkt werden. Bei einem internen Verzeichnisdienst könnten das beispielsweise E-Mail-Adresse, Telefonnummer, Faxnummer oder öffentliche Schlüssel sein. In einem in externe Netze eingebundenen Verzeichnisdienst sollten keine Informationen wie z. B. Hinweise auf Aufgabenbereiche und, Arbeitszeiten von Personen sowie Örtlichkeiten sollten, soweit nicht für die Aufgabenerledigung notwendig, aufgenommen werden. Um Spam zu vermeiden, sollte auch gut überlegt werden, ob und in welcher Form E-Mail-Adresse in Verzeichnisdiensten angegeben werden.
  • Grundsätzlich ist sicherzustellen, dass der Zugriff auf Informationen in Einträgen mit Personenbezug auf das für die jeweilige Aufgabenerledigung erforderliche Maß eingeschränkt wird.
  • Soll der Verzeichnisdienst als Basis von Personalinformationssystemen genutzt oder ausgebaut werden, ist die Personalvertretung einzubeziehen.
  • Sofern ein Verzeichnisdienst oder Teile davon außerhalb des Intranets einer Institution angeboten werden, um beispielsweise anderen Institutionen oder Geschäftspartnern Daten zur Verfügung zu stellen, müssen die allgemeinen datenschutzrechtlichen Bestimmungen berücksichtigt werden.

Die Planung der Verzeichnisdienst-Administration und des benutzten administrativen Modells ist eine wichtige Aufgabe. Empfehlungen dazu finden sich zusammengefasst in Maßnahme M 2.407 Planung der Administration von Verzeichnisdiensten .

Hinsichtlich der Planung des Personaleinsatzes ist zu überprüfen, wie viele Mitarbeiter mit welcher Ausbildung für den Aufbau und den Betrieb des Verzeichnisdienstes benötigt werden. Stehen nicht genügend ausgebildete Mitarbeiter zur Verfügung, müssen die erforderlichen Schulungsmaßnahmen (siehe M 3.62 Schulung zur Administration von Verzeichnisdiensten ) rechtzeitig initiiert werden.

Prüffragen:

  • Wurde eine sorgfältige Planung des Verzeichnisdienstes durchgeführt?

  • Wurde für alle geplanten Objekte der genaue Kontext innerhalb des Verzeichnisbaums festgelegt?

  • Wurden Personalvertretung und Datenschutzbeauftragte bei der Planung des Verzeichnisdienstes beteiligt?

  • Ist ein bedarfsgerechtes Berechtigungskonzept zum Verzeichnisdienst entworfen worden?

  • Existiert eine Dokumentation zur geplanten Verzeichnisdienst-Struktur?

  • Sind Maßnahmen geplant, die das unbefugte Sammeln von Daten aus dem Verzeichnisdienst wirksam unterbinden?

  • Ist der Umgang mit personenbezogenen Daten, die im Verzeichnisdienst gespeichert werden, geregelt?

Stand: 13. EL Stand 2013