Bundesamt für Sicherheit in der Informationstechnik

M 2.407 Planung der Administration von Verzeichnisdiensten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Die Administration eines Verzeichnisdienstes erfordert eine sorgfältige Planung. Dabei sollte auf eine ausreichende Trennung der administrativen Aufgaben und der zugehörigen Administratorkonten geachtet werden. Grundsätzlich sollte die Verwaltung des Verzeichnisdienstes selbst von der Verwaltung der Daten im Verzeichnis getrennt werden, indem beispielsweise die administrativen Rollen Diensteverwaltung und Datenverwaltung mit unterschiedlichen Verantwortungsbereichen geschaffen werden.

Dienstadministratoren sollten sich um die Bereitstellung des gesamten Verzeichnisdienstes, verzeichnisweite Einstellungen, Installation und Wartung der Software sowie um die Installation des Betriebssystems auf den Verzeichnisdienst-Servern kümmern.

Datenadministratoren sollten hingegen für die Verwaltung der Daten zuständig sein, die im Verzeichnisdienst und damit auf den Servern des Verzeichnisdienstes gespeichert sind. Sie sollten den Verzeichnisdienst nicht konfigurieren und bereitstellen können. Datenadministratoren sollten außerdem möglichst nicht für die Gesamtheit aller Daten des Verzeichnisdienstes zuständig sein. Typischerweise verwalten sie eine Teilmenge der Objekte des Verzeichnisdienstes. Mit Hilfe von Einstellungen in den Access Control Lists für die im Verzeichnisdienst gespeicherten Objekte sollten zu diesem Zweck die Verwaltungsmöglichkeiten eines bestimmten Administratorkontos auf spezielle Bereiche des Verzeichnisdienstes beschränkt werden.

Einige Informationen, die zur Verwaltung oder Konfiguration des Verzeichnisdienstes erforderlich sind, werden von Objekten im Verzeichnisdienst selbst gesteuert. Obwohl diese Informationen, wie z. B. Vertrauensstellungen, Schemata oder Regeln zur Replikation, im Verzeichnisdienst gespeichert sind, sollten sie von den Dienstadministratoren verwaltet werden. Daher können Dienstadministratoren auch als Datenadministratoren fungieren, nicht jedoch umgekehrt.

Darüber hinaus kann auch ein weitergehendes administratives Modell für den Verzeichnisdienst geplant werden. Die Einrichtung einer Rollen-basierten Administration und die Möglichkeit der Delegation von Administrationsaufgaben beeinflussen die Sicherheit des Verzeichnisdienstes und verdienen daher eine besondere Beachtung. Bei sinnvoller, übersichtlicher und konsistenter Gestaltung der Sicherheitsadministration kann gleichzeitig auch eine erhöhte Transparenz und Effizienz geschaffen werden.

Im Rahmen der Planung der Administration von Verzeichnisdiensten müssen für jede Institution folgende Fragen beantwortet werden:

  • Welche Administratorgruppen werden benötigt?
  • Welches administrative Modell wird umgesetzt? Zentrale oder dezentrale Verwaltung?
  • Welche administrativen Rollen sollen innerhalb der Baumstruktur existieren?
  • Sollen administrative Aufgaben delegiert werden? An wen?
  • Auf welche Objekte darf über die verschiedenen Verzeichnisdienst-Schnittstellen von welchen Administratoren zugegriffen werden?

Folgende sicherheitsrelevante Aspekte sollten bei der Planung der Verzeichnisdienst-Administration berücksichtigt werden:

  • Eine Delegation wird durch die Vergabe von Zugriffsrechten auf die Verzeichnisdienst-Objekte und deren Attribute erreicht. Dabei wird in der Regel der Vererbungsmechanismus eingesetzt, um Berechtigungen auf Objekte in Teilbäumen zu verwalten. Komplexe Szenarien mit Delegation und damit Rechtevererbung sollten jedoch vermieden werden. Diese werden sonst sehr schnell unübersichtlich und sind kaum noch administrierbar, so dass leicht Sicherheitslücken durch Fehlkonfigurationen entstehen können.
  • Standardmäßig ist im Allgemeinen bei der Erstinstallation eines Verzeichnisdienstes ein übergreifender Administrator angelegt, der auf alle Objekte des Verzeichnisdienstes volle Zugriffsrechte besitzt. Dies sollte bei der Erstinstallation geändert werden. Die Verteilung der Zugriffsrechte sollte gemäß dem zuvor festzulegenden administrativen Modell erfolgen.
  • Im Fall der administrativen Delegation sollten nur die unbedingt notwendigen Rechte vergeben werden, die zur Ausübung der delegierten administrativen Tätigkeiten erforderlich sind.
  • Der administrative Zugang zum ersten bzw. obersten Teil des Verzeichnisdienstes sollte aufgrund der weitreichenden Berechtigungen besonders geschützt werden. Bei entsprechend hohem Schutzbedarf ist zu überlegen, diesen Zugang nur im Vier-Augen-Prinzip, beispielsweise durch ein geteiltes Passwort, zu gewähren.
  • Schema Änderungen sind überaus kritische Operationen und dürfen, wenn überhaupt, nur von autorisierten Administratoren nach sorgfältiger Planung durchgeführt werden. Sie müssen genau dokumentiert werden.
  • Für den Fall, dass eine eigene Zertifizierungsstelle (Certification Authority, CA ) in den Verzeichnisdienst eingebunden wird, ist deren Betrieb und Administration der zuvor aufgestellten Sicherheitsrichtlinie entsprechend zu planen.
  • Die administrativen Tätigkeiten sollten so delegiert werden, dass sich möglichst keine Überschneidungen ergeben. Ansonsten könnten durch zwei Administratoren sich gegenseitig widersprechende Veränderungen durchgeführt werden, die dann zu Replikationskonflikten führen könnten. Durch ein Administrationsmodell mit überschneidungsfreien Zuständigkeiten kann die Gefahr von Replikationskonflikten verringert werden. Sind Replikationskonflikte zu erwarten oder bereits aufgetreten sollte in regelmäßigen Abständen und nach wichtigen Änderungen immer eine manuelle Überprüfung der Werte erfolgen.
  • Das Modell der administrativen Delegation und die daraus resultierenden Rechtezuordnungen müssen dokumentiert werden.
  • Für große Verzeichnisdienste sollte eine Werkzeug gestützte Verwaltung in Betracht gezogen werden. Für praktisch alle Verzeichnisdienste gibt es verschiedene kommerzielle und auch frei verfügbare Werkzeuge. Werden solche Werkzeuge verwendet, so müssen diese sicher konfiguriert und betrieben werden.

Prüffragen:

  • Werden die administrativen Aufgaben für die Verwaltung des Verzeichnisdienstes selbst und für die Verwaltung der Daten strikt getrennt?

  • Sind die Berechtigungen im administrativen Modell des Verzeichnisdienstes restriktiv und möglichst überschneidungsfrei?

  • Sind alle administrativen Aufgabenbereiche und Berechtigungen ausreichend dokumentiert?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK