Bundesamt für Sicherheit in der Informationstechnik

M 2.406 Geeignete Auswahl von Komponenten für Verzeichnisdienste

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Leiter IT

In der Planungs- und Konzeptionsphase für einen Verzeichnisdienst wurden dessen Zweck und Einsatzszenarien definiert und Sicherheitsrichtlinien für den Einsatz festgelegt.

Nachdem die Anforderungen für den Einsatz eines Verzeichnisdienstes spezifiziert wurden, müssen geeignete Komponenten zu seiner Realisierung identifiziert werden. Dies gilt insbesondere für die zu beschaffende Software. Aber auch die dafür benötigte Hardware samt Betriebssystem sowie die Netz-Infrastruktur müssen den Anforderungen genügen.

Auswahl der Software für den Verzeichnisdienst

Software für Verzeichnisdienste wird von vielen Herstellern auf unterschiedlichen Plattformen angeboten. Es gibt kommerzielle Produkte, aber auch frei verfügbaren Varianten. Bekannte Verzeichnisdienste basieren heute praktisch alle auf dem LDAP -Standard. Einige Beispiele, ohne Wertung und Anspruch auf Vollständigkeit, sind:

  • Active Directory in Microsoft Windows-2000-Server- oder Windows-Server-2003-Netzen
  • eDirectory, ehemals NDS in Novell-Netzen
  • Fedora Directory Server, unterstützt von Red Hat
  • OpenLDAP (Open Source Software für diverse Betriebssysteme)
  • Apple Open Directory in Mac OS X Server
  • IBM Tivoli Directory Server
  • Sun Java System Directory Server
  • Network Information Service (NIS) in Unix-Netzen (nicht LDAP-basiert)

Verzeichnisdienste können sowohl bereits in ein Betriebssystem integriert sein, wie z. B. Active Directory in Windows Server ab Windows 2000, oder auch als eigenständige Software-Komponente für verschiedene Betriebssysteme, wie z. B. OpenLDAP, oder auf Java-Plattform, wie z. B. Sun Java System Directory Server, angeboten werden.

Ein wichtiges Kriterium bei der Beschaffung von Verzeichnisdienst-Software ist zunächst die Kompatibilität zu den Anwendungen, die gemäß der strategischen Entscheidung aus der Planungsphase den Verzeichnisdienst nutzen sollen. Hierbei sind insbesondere die Schnittstellen zu betrachten, die vom Verzeichnisdienst angeboten werden.

Der Standard LDAPv3 wird in seinem Kern von praktisch allen angebotenen Verzeichnisdiensten eingehalten. Produktspezifische Erweiterungen des LDAP-Standards sind jedoch möglich. Diese können sowohl funktionaler Natur sein als auch konkrete Sicherheitsmerkmale umfassen.

Werden LDAP-Erweiterungen benötigt, gilt es zu überprüfen, ob diese von der Verzeichnisdienst-Software auch bereitgestellt werden.

Darüber hinaus kann die Bereitstellung weiterer Schnittstellen ein Kriterium für die Beschaffung sein, wenn die effektive oder effiziente Nutzung des Verzeichnisdienstes dadurch erst möglich wird. Beispiele für solche Schnittstellen eines Verzeichnisdienstes sind Extended Markup Language (XML), Directory Services Markup Language (DSML) und Simple Object Access Protocol (SOAP) sowie die proprietären Active Directory Service Interfaces ( ADSI ) und Novell Directory Access Protocol ( NDAP ).

Insgesamt sind die Anforderungen der Anwendungen und deren Benutzer an den Verzeichnisdienst zu ermitteln, um dessen Verfügbarkeit sicherzustellen. Je nach Anforderung ist beispielsweise sicherzustellen, dass der Verzeichnisdienst die Anzahl der Anfragen verarbeiten kann. Wenn auf Client-Seite hierzu weitere Komponenten erforderlich sind, müssen auch diese in den Prozess der Auswahl und Beschaffung einbezogen werden.

Erfüllung der Sicherheitsanforderungen

Im Rahmen der Planung und Konzeption des Verzeichnisdienstes wurden Anforderungen an dessen Sicherheit in Abhängigkeit vom Einsatzzweck formuliert. Folgende Fragestellungen sollten daher bei der Auswahl von Software-Komponenten zur Realisierung des Verzeichnisdienstes mindestens berücksichtigt werden:

  • Können mit dem betrachteten Produkt die administrativen Aufgaben so delegiert oder verteilt werden, dass sie den Anforderungen, gegebenenfalls auch für zukünftige Planungen, genügen? Lassen sich die damit verbundenen Rechte der einzelnen Administrator-Gruppen so granular einstellen, dass sie auf die notwendigen Zugriffsrechte eingeschränkt werden können? Können die administrativen Tätigkeiten am Verzeichnisdienst angemessen hinsichtlich Vertraulichkeit und Integrität abgesichert werden?
  • Werden ausreichend starke Mechanismen zur Authentisierung der Benutzer des Verzeichnisdienstes gemäß den Anforderungen der Institution zur Verfügung gestellt?
  • Kann die Vertraulichkeit der Daten bei der Übertragung zwischen Standorten und zum Benutzer angemessen abgesichert werden?
  • Bieten die Verzeichnisdienst-Komponenten genügend Unterstützung für den Fall, dass elektronische Zertifikate zur Authentisierung, Verschlüsselung, digitalen Signatur oder im Rahmen einer PKI benötigt werden?
  • Ist, falls erforderlich, eine Multi-Master-Replikation des Verzeichnisdienstes möglich? Wird die Multi-Master-Replikation auf allen geforderten Ebenen durch die Verzeichnisdienst-Software unterstützt?
    Im Gegensatz zu einer Master-Slave-Installation existieren bei einer Multi-Master-Replikation mehrere Master-Server, die die Anfragen der Anwendungen bzw. deren Benutzer entgegennehmen und verarbeiten. Hierbei wird stets der Master-Server angesprochen, der dem Anfragenden am nächsten ist.
    Vor allem bei räumlich weit verteilten Verzeichnisdienst-Strukturen ist der Multi-Master-Betrieb empfehlenswert. In jedem Fall ist sicherzustellen, dass eine regelmäßige Replikation zwischen den Master- Servern stattfindet, da alle Master immer den vollen Datenbestand des Verzeichnisdienstes vorhalten müssen. Der Verwaltungsaufwand für einen Multi-Master-Betrieb ist daher höher.

Schulung und weitere Unterstützung

Für die sichere Installation, Konfiguration und Betrieb eines Verzeichnisdienstes muss eine ausreichende Kompetenz beim administrativen Personal vorhanden sein. Bei der Auswahl von Software-Produkten eines Verzeichnisdienstes ist daher zu beachten, ob für diese geeignete Schulungen vom Hersteller oder einem unabhängigen Anbieter angeboten werden.

Sollte es im laufenden Betrieb eines Verzeichnisdienstes zu komplexeren Problemen kommen, ist gegebenenfalls weitergehende Unterstützung durch den Hersteller oder einen Dritten erforderlich. Daher sollte bei der Beschaffung von Verzeichnisdienst-Komponenten an den Abschluss geeigneter Unterstützungsverträge bzw. Service Level Agreements (SLAs) gedacht werden.

Die notwendigen Schulungen und Unterstützungsleistungen müssen in die Kalkulation der Gesamtkosten für den Verzeichnisdienst einbezogen werden.

Werkzeuge

Für die Administration von Verzeichnisdiensten und die Verwaltung der Daten werden in der Regel eine Reihe von Werkzeugen angeboten. Bei der Auswahl eines Verzeichnisdienstes sollte also auch geklärt werden, ob es geeignete Werkzeuge gibt, um dessen Administration zu unterstützen. Außerdem ist zu hinterfragen, ob diese Werkzeuge die an sie gestellten Anforderungen erfüllen.

  • Unterstützen die Werkzeuge die Verwaltung des Verzeichnisdienstes wie auch der Daten des Verzeichnisdienstes in ausreichendem Maße? Wird die Administration bei Installation, Konfiguration und Betrieb der Komplexität des Verzeichnisdienstes entsprechend angemessen unterstützt, um Fehler und Irrtümer weitestgehend zu vermeiden?
  • Lassen sich die Schnittstellen und Zugänge zur Administration und Überwachung bei Verwendung dieser Werkzeuge ausreichend absichern?

Skalierbarkeit

Für die Verfügbarkeit des Verzeichnisdienstes ist auch die Leistungsfähigkeit der dahinter liegenden Datenbank von Bedeutung.

  • Ist der Verzeichnisdienst hinreichend skalierbar? Kann der Verzeichnisdienst hinsichtlich seiner Strukturen und der Anzahl der möglichen Einträge auch noch zukünftigen Ansprüchen gerecht werden?

Hardware

Ist die für den Verzeichnisdienst vorgesehene Hardware oder das darauf laufende Betriebssystem bereits vorhanden oder aus anderen Gründen vorgegeben, so schränkt dies die Auswahl der geeigneten Software in aller Regel ein und ist zu berücksichtigen.

Wenn der Verzeichnisdienst andererseits in eine heterogene Landschaft von Hardware und Betriebssystemen zu integrieren ist, muss die Software des Verzeichnisdienstes dies unterstützen.

Für den Fall, dass Hardware und/oder Betriebssystem für den zu etablierenden Verzeichnisdienst neu zu beschaffen sind, müssen die Anforderungen hinsichtlich Leistung und Speicherplatz erfüllt werden, um letztlich die Verfügbarkeit des Verzeichnisdienstes und die Integrität seiner Daten zu gewährleisten (siehe auch M 2.317 Beschaffungskriterien für einen Server )

Netze

Entsprechendes gilt auch für die Netz-Infrastruktur. Sollen vorhandene Netze mit vorgegebenen Bandbreiten genutzt werden, müssen die Verzeichnisdienst-Komponenten so ausgewählt sein, dass die Netzlast bei Anfragen an den Verzeichnisdienst so verteilt werden kann, dass die Verfügbarkeit des Dienstes aufrecht erhalten bleibt.

Bei einer Neuplanung oder Erweiterung des Netzes müssen die Kommunikationsverbindungen so ausgelegt werden, dass sie den Anforderungen aus der Analyse des zu erwartenden Netzverkehrs mit dem Verzeichnisdienst gerecht werden können

Prüffragen:

  • Existiert ein Kriterienkatalog, aufgrund dessen die Komponenten für den Verzeichnisdienst ausgewählt und beschafft werden?

  • Wurden Sicherheitsanforderungen für die Komponenten des Verzeichnisdienstes gemäß ihres Einsatzzweckes formuliert?

Stand: 13. EL Stand 2013