Bundesamt für Sicherheit in der Informationstechnik

M 3.29 Schulung zur Administration von Novell eDirectory

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Für die Administration eines eDirectory-Verzeichnisdienstes werden detaillierte Kenntnisse über dieses Produkt und seine grundlegenden Konzepte benötigt. Sind diese Kenntnisse nicht vorhanden, kann es leicht zu Fehlkonfigurationen kommen, die erhebliche sicherheitstechnische Auswirkungen haben können. Eine Schulung von Administratoren auf diesem Gebiet ist daher unerlässlich.

Im Folgenden wird kurz zusammengefasst, welche Themen bei der Schulung der Administratoren behandelt werden sollten.

Der eDirectory-Verzeichnisdienst ist baumartig hierarchisch strukturiert. Die einzelnen Knotenpunkte des Verzeichnisbaums bestehen aus den Container-Objekten, die wiederum andere Objekte enthalten können, und den so genannten Leaf-Objekten, welche die Endpunkte (Blätter) des Verzeichnisbaums darstellen. Jedes Objekt gehört einer eindeutigen Objektklasse an. Die Objektklasse definiert die Werte bzw. Attribute oder auch Eigenschaften, welche einem Objekt dieser Objektklasse zugewiesen werden können. Zudem werden hierarchische Relationen darin definiert, d. h. was potentielle Vater- und Kindobjekte sein können. Es gibt dafür bereits eine Anzahl seitens eDirectory vordefinierter Objektklassen. Die Definitionen der Objektklassen werden im so genannten Schema festgehalten. Werden Veränderungen an der Definition einzelner Objektklassen vorgenommen, z. B. eine Erweiterung des zugehörigen Attributsatzes, so geschieht dies über eine Änderung bzw. Erweiterung des Schemas. Eine Schemaänderung ist gewissermaßen die sensibelste Operation überhaupt, die an einem eDirectory-Verzeichnisbaum vorgenommen werden kann. Diese hat Auswirkungen auf den gesamten Baum, so dass die bisherige Konzeption des Baums neu überdacht werden muss. Die Administration des eDirectory-Schemas verlangt daher eine hohe Kompetenz im Verzeichnisdienst und ein sehr hohes Sicherheitsbewusstsein.

Jedem einzelnen Objekt und jeder Objektklasse können Zugriffsrechte auf die einzelnen Attribute des Objektes erteilt werden. Die explizite Zuweisung erfolgt dabei über die Trustee-Beziehungen, d. h. Eintragung von Trustees in die Access Control List ( ACL ). Die Rechte reichen dabei von Supervisor, d. h. einem vollständigen Administrationsrecht, bis hin zum Browsen, was das Durchlaufen des entsprechenden Verzeichnisbaum-Abschnittes gestattet. Die Zugriffsrechte auf die Objekte vererben sich dabei standardmäßig in der Baumhierarchie von oben nach unten. Es ist jedoch möglich, Einfluss auf den Vererbungsprozess zu nehmen, in dem so genannte Inherited Rights Filter (IRF) eingeführt werden. Mit diesen Filtern können automatische Vererbungen explizit ausgeblendet werden. Weiterhin besteht die Möglichkeit, so genannte Sicherheitsäquivalenzen zwischen einzelnen Objekten bzw. Objektklassen X und Y zu definieren. Dabei werden sämtliche Trustees von Objekt X automatisch auch zu Trustees von Objekt Y, d. h. das Objekt Y besitzt zumindest die gleichen Zugriffsmöglichkeiten wie Objekt X.

Schließlich kommen beim eDirectory-Zugriff dann die effektiven Rechte zum tragen, welche die Folge der oben genannten Rechtevergabe darstellen und bei jedem einzelnen Zugriff dynamisch berechnet werden.

Im Intranet greifen die Benutzer über geeignete Clientsoftware auf das eDirectory zu. Der Zugriff der Clients auf das eDirectory erfolgt dabei über ein proprietäres Protokoll, bei dem der private Schlüssel des sich anmeldenden Benutzers vom eDirectory verschlüsselt an den Client geschickt wird. Bei dieser Verschlüsselung ist das Benutzerpasswort involviert. Gibt der Benutzer nun sein Passwort ein, so kann der Client den privaten Schlüssel entschlüsseln, und zwischen dem Client und dem eDirectory-Server findet ein Challenge-/Response-Verfahren zur Authentisierung statt. Bei erfolgreicher Authentisierung besitzt der Benutzer nun die für ihn definierten Zugriffsrechte auf das eDirectory.

Netzapplikationen und Internet-Benutzer greifen in der Regel über das LDAP -Protokoll auf den eDirectory-Verzeichnisdienst zu. Hierbei gibt es standardmäßig drei verschiedene Anbindungsarten: den anonymous bind, den proxy user anonymous bind sowie den NDS-user bind. Die Voreinstellung ist, dass der anonyme Login dabei die Rechte des [Public] Objektes hat, welches standardmäßig das uneingeschränkte Browse-Recht auf den gesamten Verzeichnisbaum besitzt. Der anonyme Login setzt keine Authentisierung voraus. Für die Passwort-Authentisierung kann konfiguriert werden, ob dabei das Passwort im Klartext übertragen werden darf oder nicht. Für eine gesicherte Anbindung über LDAP steht das SSL-Protokoll zur Verfügung, und zwar wahlweise mit ein- oder zweiseitiger Authentisierung.

Der eDirectory-Zertifikatsserver spielt eine wichtige Rolle für die Rechtevergabe und damit für die Systemsicherheit. Ebenso hängen die Authentisierungen im Netz sowie der Aufbau eines verschlüsselten Kanals (via SSL) vom Zertifikatsmanagement ab. Die sorgfältige Administration des eDirectory-Zertifikatsservers ist daher besonders wichtig.

Der eDirectory-Verzeichnisdienst erlaubt zur Verbesserung der Skalierbarkeit und Performance eine Partitionierung der Verzeichnisdatenbank auf mehrere Server. Für die Partitionierung eines Verzeichnisbaums sind dabei eine Reihe von Regeln zu beachten, siehe dazu M 2.237 Planung der Partitionierung und Replikation im Novell eDirectory .

Wie die Vorgängerprodukte unterstützt der eDirectory-Verzeichnisdienst Repliken zur Erhöhung der Fehlertoleranz und des Systemdurchsatzes. Dabei gibt es mehrere Typen von Repliken, nämlich Master Replica, Read/Write Replica, Read-Only Replica, Filtered Read/Write Replica, Filtered Read-Only Replica sowie Subordinate Reference Replica. Detaillierte Hinweise hierzu finden sich in M 2.237 Planung der Partitionierung und Replikation im Novell eDirectory .

eDirectory unterstützt die rollenbasierte Administration sowie die Delegation von Administrationsaufgaben. Entsprechend den bei der Planung getroffenen Entscheidungen (siehe M 2.236 Planung des Einsatzes von Novell eDirectory sowie M 2.238 Festlegung einer Sicherheitsrichtlinie für Novell eDirectory ) müssen die verschiedenen Administratoren für ihre jeweilige Aufgabe geschult werden. Dies gilt besonders für die Gruppe der Schemaadministratoren, die in der Lage sind, das gesamte Datenbankdesign des Verzeichnisbaums zu verändern (siehe oben).

Auch die Administration der eDirectory-Clientsoftware und des LDAP-Zugriffs setzt detaillierte Kenntnisse über die Konfigurationsmöglichkeiten des Systems voraus. Dabei spielt auch das zugrunde liegende Betriebssystem eine Rolle für die Definition einer Sicherheitsumgebung, insbesondere der Dateisystemsicherheit.

Weiterhin müssen auch die für das Logging und Monitoring zuständigen Administratoren genauestens in ihre Tätigkeit eingewiesen werden.

Schulungsinhalte

Die Administration eines eDirectory-Verzeichnisbaums wird im Allgemeinen, je nach Größe des Netzes, nicht von einem einzelnen Administrator, sondern von einer ganzen Reihe von Administratoren mit speziellen Aufgaben und Tätigkeitsbereichen durchgeführt. Insoweit besteht auch nicht für alle Administratoren eines eDirectory-Verzeichnisses der gleiche Schulungsbedarf. Zur Gewährleistung eines sicheren Betriebes muss jedoch jeder Administrator über ein hinreichendes Grundwissen verfügen, damit er seine eigenen Tätigkeiten in einen Gesamtkontext einordnen kann.

Schulungsinhalte sollten in jedem Fall die folgenden Stichpunkte umfassen und diese erläutern. Wie tief sich ein Administrator mit den einzelnen Aspekten beschäftigen muss, hängt von seinem späteren Tätigkeitsfeld ab.

Grundlagen

  • Überblick über die Sicherheitsmechanismen von eDirectory
  • Sicherheitsverwaltung (ConsoleOne, iMonitor)
  • Baumstruktur und Namensauflösung
  • Vererbung innerhalb des Verzeichnisbaums
  • notwendiger physikalischer Schutz aller eDirectory-Server inklusive Replica

Verzeichnisdienst

  • Allgemeines: Planung, Einrichtung, Administration
  • Schema-Verwaltung
  • Partitionierung
  • Replikation
  • Backup
  • Rechtevergabe
  • Rechtevererbung und Kalkulation der effektiven Rechte
  • Authentisierung

Public Key Infrastruktur (PKI)

  • Funktionsweise einer PKI
  • Zertifikate und Zertifikatstypen
  • Planung einer PKI
  • Benutzerinteraktion mit der PKI
  • eDirectory-Key Management Objects
  • Administration des eDirectory-Zertifikatsservers

Secure Sockets Layer (SSL)

  • Funktionsweise des SSL-Protokolls
  • Konfiguration von SSL

Lightweight Directory Access Protocol (LDAP)

  • LDAP-Zugriff auf das eDirectory
  • mögliche Anbindungen der Benutzer

Novell Client

  • Funktionsweise des Novell Clients
  • Authentisierung des Novell Clients

Die einzelnen Themen sollten dabei wie folgt detaillierter dargestellt werden:

Schema-Verwaltung

Oftmals ist eine installationsspezifische Veränderung des eDirectory-Schemas durch einen Administrator nicht notwendig. Die Schulung kann sich insofern auf die Problematik und die Auswirkungen von Schema-Veränderungen beschränken. Sollen individuelle Anpassungen des Schemas vorgenommen werden, sind weitergehende Schulungen zu Interna von eDirectory notwendig.

Replikation

  • Verwendete Mechanismen zur Replikation
  • Voreingestellte Parameter zur Replikation von eDirectory-Inhalten
  • Problematik der dezentralen Administration des eDirectory im Zusammenhang mit Replikationskonflikten

Backup

  • Problematik des Erstellens eines "Backups des eDirectory"
  • Wiedereinspielen von Backups eines eDirectory-Servers
  • zu ergreifende Maßnahmen beim Ausfall von eDirectory-Servern, die die Baumstruktur definieren (d. h. die erste eDirectory-Installation innerhalb eines Verzeichnisbaums)

Rechtevergabe im eDirectory

  • Vergabe von Zugriffsrechten auf eDirectory-Objekte auf Attributsebene
  • Vererbung von Zugriffsrechten und Blockade der Vererbung
  • Definition von Sicherheitsäquivalenzen
  • effektive Zugriffsrechte
  • rollenbasierte Administration
  • Delegation von administrativen Aufgaben

Auch wenn eine Rollentrennung zwischen der Administration des eDirectory- Verzeichnisses und des zugrunde liegenden Betriebssystems in Kraft ist, sollte den eDirectory-Administratoren Grundlagenwissen zum Betriebssystem vermittelt werden. Anderenfalls wird eine Zusammenarbeit bei der Problemlösung erschwert.

Prüffragen:

  • Sind alle für eDirectory zuständigen Administratoren für die Arbeit mit eDirectory geschult?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK