Bundesamt für Sicherheit in der Informationstechnik

M 2.408 Planung der Migration von Verzeichnisdiensten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Oftmals wird ein Verzeichnisdienst nicht vollständig neu aufgebaut, sondern es existieren bereits einzelne Verzeichnisdienste im Institutionsnetz, die aber nur auf die Unterstützung bestimmter Anwendungen oder Fachverfahren abgestimmt sind oder ihren Dienst nur in einem Teilnetz zur Verfügung stellen. Letzteres trifft insbesondere zu, wenn ehemals autonome Teile einer Organisation in Folge von Zusammenlegungen zu einem Netz vereinigt werden. Die Migration eines Verzeichnisdienstes kann auch durch die Umstellung der Server-Landschaft auf eine neue Hardware, ein neues Betriebssystem oder durch den Wechsel von einer Betriebssystem-Version auf eine aktuellere begründet sein.

In jedem Fall erfordert die Migration von Verzeichnisdiensten eine sorgfältige Planung, da aufgrund der Umstellung Sicherheitslücken entstehen könnten.

  • Die Integrität der Daten ist zu wahren. Die Daten der betroffenen Verzeichnisdienste dürfen keine unerwünschten Änderungen infolge der Migration erfahren. Soweit dies geplant ist, müssen alle Objekte der Verzeichnisdienste vollständig migriert werden.
  • Die Vertraulichkeit der Daten ist zu gewährleisten. Es ist sicherzustellen, dass weder im Laufe der Migration noch nach deren Abschluss unautorisierte Zugriffe auf Daten erfolgen können.
  • Letztlich ist als wesentlicher Bestandteil auch die Verfügbarkeit der Verzeichnisdienste während der Migration in erforderlichem Umfang aufrecht zu halten, bis der Verzeichnisdienst nach erfolgreicher Migration wieder in den normalen Betrieb übergeht.

Für die Migration eines Verzeichnisdienstes stehen verschiedene Migrationsverfahren zur Verfügung, die sich insbesondere im zusätzlichen Bedarf an Hardware unterscheiden:

  • Aktualisierung des Verzeichnisdienstes: Bei dieser Umstellungsart wird ein Update des Verzeichnisdienstes auf die vorhandenen Rechner aufgespielt. Es ist keine zusätzliche Hardware notwendig. Nachteilig ist jedoch, dass der betroffene Rechner während der Umstellung nicht genutzt werden kann.
  • Vollständige Neuinstallation: Die Migration geschieht durch einen parallelen Aufbau der Verzeichnisdienst-Infrastruktur. Nach Installation und Konfiguration geht der neue Verzeichnisdienst in den Wirkbetrieb über. Das existierende System wird dabei nicht beeinflusst und kann in dieser Zeit weiter genutzt werden. Allerdings entsteht bei dieser Variante ein hoher Bedarf an zusätzlicher Hardware.
  • Rollende Migration: Diese Variante bietet sich an, wenn der Verzeichnisdienst in hierarchische Teilstrukturen (Partitionen) aufgeteilt ist. Für die jeweilige Partition wird zunächst eine parallele Struktur aufgebaut, die dann nach erfolgtem Aufbau genutzt wird.
    Die so frei gewordene Hardware kann anschließend für den parallelen Aufbau der nächsten Teilstruktur verwendet werden.

Eine generelle Empfehlung für eines der Verfahren zur Migration des Verzeichnisdienstes kann jedoch nicht gegeben werden, da das geeignete Verfahren stark von den jeweiligen Gegebenheiten abhängt und auf die Institution zugeschnitten werden muss.

Die Migration ist auch in zwei Phasen möglich. Zuerst werden die existierenden Verzeichnisdienst-Strukturen Eins-zu-Eins übernommen. Im eigentlichen Sinne wird dabei nur ein Update der Software bzw. des Betriebssystems auf den jeweiligen Verzeichnisdienst-Servern durchgeführt. Dies hat den Nachteil, dass Unzulänglichkeiten vielfach erhalten bleiben und eine Konfiguration des Verzeichnisdienstes unter Sicherheitsgesichtspunkten weiterhin erforderlich ist.

In einem zweiten Schritt erfolgt dann Restrukturierung des Verzeichnisdienstes. Dieses Vorgehen entspricht meist einem völligen Neuaufbau. Es bietet den Vorteil, dass hierbei alte und komplizierter administrierbare Strukturen durch neue ersetzt werden können. Außerdem lassen sich Veränderungen in der Organisation im Verzeichnisdienst entsprechend abbilden. Es ist dabei jedoch zu beachten, dass die Planung und Umsetzung der neuen Struktur meist mit großem Aufwand verbunden ist.

Migrationskonzept

Aufgrund der Komplexität der Migration eines Verzeichnisdienstes muss vorab ein entsprechendes Migrationskonzept erstellt werden. Dabei sollten insbesondere folgende Punkte berücksichtigt werden:

  • Soll der Verzeichnisdienst im Rahmen der Migration in einer heterogenen Struktur mit verschiedenen Software-Versionen bzw. Betriebssystemen betrieben werden?
    Es sollte in diesem Fall festgelegt werden, ob dieser Mischbetrieb nur für einen definierten Übergangszeitraum oder dauerhaft aktiv sein soll. In einem Mischbetrieb ist darauf zu achten, dass die einzelnen Komponenten des Verzeichnisdienstes miteinander kompatibel sind, um die Verfügbarkeit zu gewährleisten. Weiterhin ist wichtig, dass die Sicherheitsmechanismen zur Authentisierung der Benutzer des Verzeichnisdienstes oder zur Sicherung der Vertraulichkeit und Integrität der Daten im Verzeichnis oder bei deren Abfrage ausreichend sind und den definierten Anforderungen an einen Verzeichnisdienst genügen.
  • Sollen im Zuge der Migration auch Umstellungen auf Seiten der Clients durchgeführt werden?
    Je nach Umfang der Migration des Verzeichnisdienstes kann beispielsweise das Authentisierungsprotokoll der Clients gegenüber dem Verzeichnisdienst geändert werden. Um neue Sicherheitsmerkmale des Verzeichnisdienstes nutzen zu können, kann dabei eine Migration der Clients sogar erforderlich werden.
  • Soll eine Änderung an der Partitionierung und der Replizierung des Verzeichnisdienstes vorgenommen werden?
    Für solche tiefgreifenden Änderungen ist eine bedarfsgerechte Planung des Restrukturierungsprozesses wesentlich, vor allem wenn eine Steigerung der Leistungsfähigkeit des Verzeichnisdienstes erreicht werden soll.

Migration planen und dokumentieren

Die Migration muss in ihren einzelnen Schritten möglichst detailliert geplant, der angestrebte Migrationsprozess dokumentiert und allen Beteiligten zugänglich gemacht werden. Im Überblick sind folgende Schritte im Rahmen des Migrationsprozesses durchzuführen:

  • Es muss ein realistischer Zeitplan für die Migration erstellt werden. Im Laufe der Migrationsplanung muss mit Angleichungen des Zeitplanes gerechnet werden.
  • Der Migrationsplan muss eine Strategie zur Umstellung der Verzeichnisdienst-Server festlegen (siehe auch Abschnitt Aktualisierung, vollständige Neuinstallation, rollende Migration).
  • Die Reihenfolge, in der die Verzeichnisdienst-Server umgestellt werden sollen, muss festgelegt werden. Dabei ist die Rolle des Servers, der die Wurzel in der Verzeichnisdienst-Hierarchie bereitstellt, besonders zu berücksichtigen.
  • Wenn die Migration gleichzeitig eine Umstellung der Client-Rechner umfassen soll, ist auch hier die Reihenfolge zu planen. Werden Clients vor Verzeichnisdienst-Servern umgestellt, sind in der Regel nach der Migration des Verzeichnisdienstes nochmalige Konfigurationsarbeiten an den Clients erforderlich. Andersherum ist auf die Kompatibilität der Clients mit dem Verzeichnisdienst zu achten, damit dessen Verfügbarkeit gewährleistet bleibt, aber trotzdem keine Sicherheitslücken entstehen.
  • Stützt sich die Verwaltung von Benutzern und Benutzergruppen auf den Verzeichnisdienst, der migriert werden soll, so ist darauf zu achten, dass die Migration Einfluss auf die Zugriffsberechtigungen haben kann. Wenn durch die Migration die Authentisierungsattribute eines Benutzerkontos geändert werden, wie z. B. der Benutzername, ist sicherzustellen, dass die erlaubten Zugriffe weiterhin möglich sind. Andererseits muss verhindert werden, dass mit den alten Authentisierungsattributen weiter auf Ressourcen zugegriffen werden kann.
  • Während der Migration ist darauf zu achten, dass die notwendigen Vertrauensstellungen zwischen verschiedenen Teilen des Verzeichnisdienstes korrekt erzeugt werden. Es ist zu planen, in welcher Phase der Migration welche Vertrauensbeziehungen bestehen sollen.
  • Bei der Durchführung der Migration werden in der Regel diverse Migrationswerkzeuge eingesetzt. Vor der Migration muss daher auch der Werkzeugeinsatz geplant werden. Es ist festzulegen, welche Werkzeuge für welche Migrationsschritte zum Einsatz kommen sollen.
  • Wenn zur Migration weitergehende Berechtigungen vergeben werden müssen, damit die benutzten Werkzeuge auf notwendige Informationen zugreifen können, ist zu beachten, dass dadurch potentielle Sicherheitslücken erzeugt werden können.
    Diese weitergehenden Berechtigungen sind daher sofort zu entziehen, nachdem sie nicht mehr benötigt werden. Ebenso empfiehlt es sich Zugriffe mit diesen Berechtigungen geeignet zu überwachen.
  • Die für die Durchführung der Migration verantwortlichen Personen müssen benannt werden und mit ausreichenden Berechtigungen ausgestattet werden, die oft sehr weitreichend sind. Es ist daher in solchen Fällen darauf zu achten, dass nur vertrauenswürdige Personen mit diesen Aufgaben betraut werden. Im Migrationskonzept sollte außerdem festgelegt sein, welche Aufgaben nur im Vier-Augen-Prinzip erfolgen dürfen.
  • In jeden Fall sollten für die Migration des Verzeichnisdienstes umfangreiche Analyse- und Test-Phasen eingeplant werden. Für die Tests selbst sollte ein isoliertes Test-Netz vorgesehen werden.
  • Es sollte eine vollständige Datensicherung der Daten des Verzeichnisdienstes angefertigt werden, bevor die Migration beginnt.
  • Es ist ein Notfallplan zu erstellen, der die Rückkehr zum Verzeichnisdienst im Zustand vor Beginn der Migration ermöglicht, so dass bei einem fehlgeschlagenen Migrationsversuch ein operatives System schnell wiederhergestellt werden kann.
  • Nach Abschluss der Migration empfiehlt sich ein Soll-Ist-Vergleich aller Sicherheitseinstellungen, insbesondere der Zugriffsberechtigungen auf den Verzeichnisdienst und die dort abgelegten Daten.

Meta-Verzeichnisdienst statt Migration

Stellt sich bei der Planung zur Migration des Verzeichnisdienstes heraus, dass diese Migration zu aufwändig würde oder nicht innerhalb eines vorgegebenen Zeitrahmens zu realisieren wäre, kann der Einsatz eines sogenannten Meta-Verzeichnisdienstes in Betracht gezogen werden.

Ein Meta-Verzeichnisdienst dient dazu, die Daten von anderen, bereits existierenden Verzeichnisdiensten zusammenzufassen. Damit ist es möglich, mehrere unterschiedlich Verzeichnisdienste zu synchronisieren. Zur Realisierung gibt es verschiedene Ansätze:

  • Das Meta-Verzeichnis stellt als Informationshändler alle angebundenen Verzeichnisse dar, als wäre es nur ein Verzeichnis. Es wird daher auch als virtuelles Verzeichnis bezeichnet. Der Meta-Verzeichnisdienst bietet lediglich eine einheitliche Sicht auf die zusammengefassten Informationen mehrerer angeschlossener Verzeichnisse, die weiterhin ihre eigenen Schemata und Namensräume benutzen können. Zu beachten ist, dass ein solches Meta-Verzeichnis auf die dauerhafte Existenz der angebundenen Verzeichnisse angewiesen ist und Kommunikationsverbindungen zu ihnen bereitgestellt werden müssen, die für die Zahl der Anfragen und zugehörigen Antworten geeignet sind.
  • Ein Meta-Verzeichnisdienst, der als zentraler Informationsspeicher arbeitet, übernimmt die ausgewählten Informationen aus den angeschlossenen Verzeichnisdiensten in sein eigenes Verzeichnis. Es werden Metaobjekte erzeugt, welche die gesammelten Attribute der zugrunde liegenden Verzeichnisdienste umschließen.
    Um weiterhin eine Synchronisation zu ermöglichen, sind die Objekte des Meta-Verzeichnisdienstes mit den Ursprungsverzeichnissen assoziiert. Zu beachten ist, dass diese Synchronisation entweder ereignisgesteuert oder mit einer ausreichend hohen Synchronisationsfrequenz abläuft, damit die erforderliche Aktualität der Daten des Metaverzeichnisdienstes gewährleistet ist.

Die hier aufgeführten Aspekte dienen als Leitfaden für ähnliche und weitergehende Fragestellungen, die im Rahmen des Migrationskonzeptes adressiert werden müssen. Es ist zu beachten, dass ein Migrationsplan immer auf die konkrete Situation zugeschnitten sein muss und die jeweiligen lokalen Anforderungen an die Migration reflektiert.

Prüffragen:

  • Existiert ein Konzept nach dem Verzeichnisdienst-Migrationen durchgeführt werden?

  • Wurden die am Verzeichnisdienst vorgenommenen Schema-Änderungen dokumentiert?

  • Wurden weitreichende Berechtigungen zur Durchführung der Migration des Verzeichnisdienstes nach deren Abschluss wieder zurückgesetzt?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK