Bundesamt für Sicherheit in der Informationstechnik

M 3.30 Schulung zum Einsatz von Novell eDirectory Clientsoftware

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Leiter IT, Vorgesetzte

Für den Einsatz im Intranet wird der eDirectory-Verzeichnisdienst auf einem oder in der Regel mehreren Servern installiert. Die im eDirectory eingerichteten Benutzer und Benutzergruppen können dann über geeignete eDirectory-Clientsoftware auf den Verzeichnisdienst zugreifen, entsprechend der ihnen im eDirectory erteilten Rechte.

Je nach Art der eingesetzten Clientsoftware erfolgt der Zugriff auf eDirectory für den Benutzer transparent, so dass eine Schulung zu eDirectory-spezifischen Aspekten der Software für den Benutzer nicht notwendig ist. Sofern der eingesetzte Client jedoch eine Authentisierung des Benutzers gegenüber dem eDirectory erfordert, wie z. B. der Novell Client für Windows, müssen dem Benutzer in einer Schulung zumindest die folgenden Inhalte vermittelt werden:

  • Funktionsweise und Anwendung des verwendeten Login-Mechanismus,
  • Umgang mit Passwörtern sowie
  • Umgang mit SSL-Authentisierung über Benutzer-Zertifikat oder Passwort.

Wird ein LDAP -Client verwendet, der dem Benutzer ein Durchlaufen des hierarchisch angeordneten Verzeichnisbaums oder die Formulierung eigener Suchanfragen auf der Ebene von LDAP-Attributen erlaubt, so ist zusätzlich eine Schulung der Benutzer zu den Themen

  • Informationsmodell von eDirectory und
  • effiziente Formulierung von Suchanfragen

erforderlich.

Neben den generellen Verzeichnisdienst-Clients (dem Novell Client für Windows sowie Libraries für Unix-Betriebssysteme) gibt es noch eine Klasse weiterer Client-Applikationen für eDirectory, die ganz speziell zur Benutzerverwaltung in (auch heterogenen) IT-Landschaften dienen: das Novell Account Management Modul. Diese Applikationen sind in den Anmeldevorgang der entsprechenden Betriebssysteme eingebunden und übernehmen so auch die Authentisierung von Benutzern. Daneben stehen die NDS-AS (NDS Authentication Service) für eine ganze Reihe von Plattformen (Linux, FreeBSD, HP-UX, MVS, OS/390, Solaris) zur Verfügung. NDS-AS setzt den Einsatz von Netware voraus (ab Netware 5.0, SP 4A).

Die Authentisierung ist ein wesentlicher Aspekt beim sicheren Betrieb von eDirectory. Aus Sicht des Verzeichnisdienstes sollte dabei sichergestellt sein, dass sich sowohl der Client gegenüber dem System authentisiert, als auch der Benutzer gegenüber dem Client. War die Authentisierung erfolgreich, so bietet eDirectory einen automatisierten Zugriff auf sämtliche für ihn zugängliche Objekte und Services (so genannte Background Authentication). Auf diese Weise wird ein Single Sign On realisiert.

Die Authentisierung umfasst dabei folgende Schritte: Der Benutzer gibt beim Novell Client seinen Benutzernamen ein, welcher direkt an das eDirectory weitergeleitet wird. eDirectory sucht den zugehörigen privaten Schlüssel aus seinem Verzeichnis und verschlüsselt diesen. Bei dieser Verschlüsselung ist das Benutzerpasswort sowie ein Geheimnis des Clients involviert. Dieser verschlüsselte private key wird an den anfragenden Client übertragen. Der Benutzer wird nun nach seinem Passwort gefragt, welches er dem Client mitteilt. Der Client entschlüsselt daraufhin mit Hilfe dieses Passwortes und dem Client-Credential den privaten Schlüssel und hält ihn im Arbeitsspeicher. Auf Basis dieses private keys sowie dem Zertifikatsgegenstück findet nun die eigentliche Authentisierung mit dem eDirectory gemäß einem Challenge-/Response-Verfahren statt. Ist dieses erfolgreich, so ist der Benutzer eingeloggt und der private Schlüssel des Benutzers wird aus dem Arbeitsspeicher des Clients gelöscht.

Nach außen erscheint das System somit wie ein Passwort-gestütztes Authentisierungsschema, nach innen werden asymmetrische kryptographische Mechanismen eingesetzt.

Die Sicherheit der auf eDirectory-Servern gespeicherten Daten hängt zu einem großen Teil auch vom korrekten Umgang der Benutzer mit den Sicherheitsmechanismen ab. Um diese effektiv nutzen zu können, sollten Benutzer von eDirectory-Clientsoftware entsprechend geschult werden.

Benutzersicht auf Sicherheitsmechanismen

Beim Umgang mit eDirectory-Clientsoftware kann ein großer Teil der sicherheitsrelevanten Einstellungen dem Benutzer durch entsprechende Vorarbeiten und Voreinstellungen des Administrators abgenommen werden. Um einheitliche und überprüfbare Client-Konfigurationen zu erreichen, ist ein solches Vorgehen unabdingbar. Einige sicherheitsrelevante Einstellungen müssen allerdings vom Benutzer selbst vorgenommen werden. Dazu gehören in der Regel auf der Ebene des Betriebssystems die Zugriffsrechte auf die eigenen Dateien und Verzeichnisse eines Benutzers. Eine Verwaltung der Zugriffsrechte auf Dateien mit den Mitteln von eDirectory ist direkt nur für Datei-Server auf Basis des Betriebssystems Netware möglich. Indirekt sind Dateizugriffsrechte auf anderen Plattformen über die Organizational Roles administrierbar.

Schulungsinhalte

Die folgenden Stichpunkte fassen die relevanten Schulungsinhalte zusammen. Anhand des Nutzungsszenarios sollte hieraus eine geeignete Auswahl getroffen werden:

  • Funktionsweise und Anwendung des verwendeten Login-Mechanismus,
  • Umgang mit Passwörtern,
  • Umgang mit SSL-Authentisierung über Benutzer-Zertifikat oder Passwort,
  • Informationsmodell von eDirectory,
  • effiziente Formulierung von Suchanfragen,
  • Grundkenntnisse über die unterliegenden Betriebssysteme und deren Sicherheitskonfiguration sowie
  • sicheres Löschen von Dateien (siehe z. B. auch M 4.56 Sicheres Löschen unter Windows-Betriebssystemen ).

Prüffragen:

  • Authentisierung des Benutzers gegenüber dem eDirectory erforderlich: Erhalten Benutzer eine Schulung zum eDirectory?

  • Wenn Benutzer Zugriffsrechte auf eigene Verzeichnisobjekte vergeben können, werden sie in den notwendigen Konzepten und Mechanismen geschult?

Stand: 13. EL Stand 2013