Bundesamt für Sicherheit in der Informationstechnik

M 2.410 Geregelte Außerbetriebnahme eines Verzeichnisdienstes

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Wird entschieden, einen Verzeichnisdienst nicht weiter zu betreiben, weil er beispielsweise durch eine neuere Version auf neuer Hardware abgelöst wird, so sind die nachfolgend beschriebenen Punkte zu beachten.

Die Außerbetriebnahme eines Verzeichnisdienstes ist sorgfältig zu planen und gewissenhaft durchzuführen, so dass beispielsweise berechtige Benutzer sich weiterhin anmelden können und der benötigte Zugriff auf Ressourcen im Netz sichergestellt ist und andererseits Daten und Rechte, die nicht mehr aufrecht erhalten werden sollen, sicher gelöscht bzw. dauerhaft entzogen werden.

Vor der Außerbetriebnahme ist zu überprüfen, ob eine Datensicherung des Verzeichnisdienstes verfügbar ist, mit deren Hilfe der Verzeichnisdienst wieder hergestellt werden kann, falls Probleme im Netz entstehen.

Dies betrifft auch verschlüsselte Daten, die auf anderen Rechnern im Netz der Institution gespeichert sind, aber deren relevante Schlüsselinformationen Bestandteil des Verzeichnisdienstes sind. Umfasst der Verzeichnisdienst eine Zertifizierungsstelle, sind möglicherweise kryptographische Schlüssel und Zertifikate von der Außerbetriebnahme betroffen. Dann ist zu überprüfen, ob eine explizite Sicherung des Schlüssel-Materials anzufertigen ist.

In dem Fall, in dem von dem auszusondernden Verzeichnisdienst Informationen bereitgestellt werden, die weiterhin für bestimmte Zwecke oder Anwendungen benötigt werden, muss dafür Sorge getragen werden, dass diese Informationen durch andere Quellen in ausreichendem Umfang zur Verfügung stehen.

Löschen/Entsorgen der Speichermedien

Die Speichermedien aller betroffenen Rechner sind vor der Wiederverwendung sicher zu löschen (siehe M 2.167 Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Daten ). Wird die Hardware entsorgt, so muss dies ebenfalls auf sichere Weise geschehen (siehe M 2.13 Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln ).

Partition aus dem Verzeichnisdienst löschen

Ist ein Verzeichnisdienst verteilt aufgebaut, halten einzelne Verzeichnisdienst-Server dabei oft nur einen Teil des gesamten Namensraums in einer Partition des Verzeichnisdienstes. Die anderen Teile des Verzeichnisdienstes verweisen mit Referenzen auf den auszusondernden Teil.

Bei der Außerbetriebnahme einer Partition des Verzeichnisdienstes muss darauf geachtet werden, dass keine anderen Partitionen in der Hierarchie des Verzeichnisdienstes unterhalb der der zu löschenden Partition vorhanden sind. Diese hätten dann ihren Bezug im Namensraum zu den übergeordneten Teilen des Verzeichnisdienstes verloren und wären somit völlig unbrauchbar.

Wird eine solche Partition oder der entsprechende Verzeichnisdienst-Server aus dem gesamten Verzeichnisdienst herausgenommen, müssen alle Referenzen auf den ausgesonderten Teil in anderen Komponenten des Verzeichnisdienstes gelöscht oder angepasst werden. Dies betrifft unter anderem

  • Verweise auf Objekte und ihre Attribute,
  • Vertrauensstellungen,
  • Indizes (Kataloge),
  • Benutzerverwaltung,
  • Systemüberwachung (Monitoring).

Es muss beachtet werden, dass dabei auch Referenzen in Verzeichnisdiensten externer Organisationen betroffen sein können. Im Rahmen der Planung der Außerbetriebnahme muss daher auch dafür gesorgt werden, dass entsprechende Anpassungen bei betroffenen externen Organisationen angestoßen werden.

Wenn die Partition, die außer Betrieb genommen werden soll, innerhalb des Verzeichnisdienstes eine ausgezeichnete Rolle innehatte, beispielsweise als Master oder Besitzer eines globalen Index, so muss diese Rolle zuvor auf einen anderen Teil des Verzeichnisdienstes übertragen werden, da ansonsten die Funktion des Verzeichnisdienstes nicht sichergestellt ist.

Prüffragen:

  • Ist bei Außerbetriebnahme des Verzeichnisdienstes sichergestellt, dass weiterhin benötigte Rechte bzw. Informationen aus anderen Quellen zur Verfügung stehen, alle anderen aber gelöscht werden?

  • Werden externe Nutzer darüber informiert, wenn ein Verzeichnisdienst außer Betrieb genommen werden soll?

  • Wird bei der Außerbetriebnahme einzelner Partitionen eines Verzeichnisdienstes darauf geachtet, dass dadurch andere Partionen nicht beeinträchtigt werden?

Stand: 13. EL Stand 2013