Bundesamt für Sicherheit in der Informationstechnik

M 3.62 Schulung zur Administration von Verzeichnisdiensten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Für die Administration eines Verzeichnisdienstes werden detaillierte Kenntnisse über die Technologie, über grundlegende Konzepte sowie über das eingesetzte Produkt benötigt. Sind solche Kenntnisse nicht vorhanden, kann dies leicht zu Fehlkonfigurationen mit erheblichen sicherheitstechnischen Auswirkungen für die Institution führen. Daher sind ausreichende Schulungen der entsprechenden Administratoren auf diesem Gebiet obligatorisch.

Schulungsinhalte

Die Administration eines Verzeichnisbaums wird im Allgemeinen, je nach Größe des Netzes, nicht von einem einzelnen Administrator, sondern von einer ganzen Reihe von Administratoren mit speziellen Aufgaben und Tätigkeitsbereichen durchgeführt. Insoweit besteht auch nicht für alle Administratoren eines Verzeichnisses der gleiche Schulungsbedarf. Zur Gewährleistung eines sicheren Betriebes muss jedoch jeder Administrator über ein hinreichendes Grundwissen auch der zugrunde liegenden Betriebssysteme verfügen, damit er seine eigenen Tätigkeiten in einen Gesamtkontext einordnen kann.

Schulungsinhalte sollten in jedem Fall die folgenden Stichpunkte umfassen und diese erläutern. Wie tief sich ein Administrator mit den einzelnen Aspekten beschäftigen muss, hängt von seinem späteren Tätigkeitsfeld und dessen Qualifikation ab.

  1. Grundwissen über Authentisierung
    • Überblick über Grundbegriffe der Informationssicherheit, die bei Verzeichnisdiensten benötigt werden wie Vertraulichkeit, Integrität und Verfügbarkeit
    • Verfahren zur Identifizierung und Authentisierung, Erläuterungen von Begriffsdefinition wie Wissen, Besitz, Eigenschaft
    • Aufzeigen allgemeiner Möglichkeiten zur Authentisierung mittels Wissen wie Passwörter, Einmal-Passwörter, Challenge-Response-Verfahren, digitale Signaturen etc. und Sensibilisierung zum Umgang mit Authentisierungsmerkmalen
    • Aufzeigen allgemeiner Möglichkeiten zur Authentisierung mittels Besitz wie Token, Chipkarten, Magnetstreifenkarten etc.
    • Aufzeigen von möglichen biometrischen Verfahren zur Authentisierung wie Fingerabdruckerkennung, Iriserkennung, Gesichtserkennung etc.
    • Vor- und Nachteile von Single-Sign-On-Produkten (SSO-Produkt)
    • Anforderungen an die Einsatzumgebung eines SSO-Produktes, wie beispielsweise der Arbeitsplatz des Administrators
    • Übersicht über Sicherheitsfunktionalitäten des eingesetzten SSO-Produktes
    • Allgemeine datenschutzrechtliche Aspekte beim Einsatz von Verzeichnisdiensten, z. B. Problemdarstellung Datenschutz, Veröffentlichung von Klarnamen, Rechtliche Einordnung von Verzeichnisdiensten, Beschäftigtendaten in Verzeichnisdiensten
    • Allgemeine Aspekte und Hinweise zum Berechtigungsmanagement
  2. Allgemeine Grundlagen von Verzeichnisdiensten
    • Funktionsweisen eines Verzeichnisdienstes
    • Überblick über die Sicherheitsmechanismen allgemeiner Verzeichnisdienste, Sicherheitsverwaltung
    • Baumstruktur und Namensauflösung
    • Vererbung innerhalb des Verzeichnisbaums
    • Authentisierungsmethoden innerhalb eines Verzeichnisdienstes
    • notwendiger physikalischer Schutz aller Verzeichnisdienst-Server inklusive Replikationen
  3. Verzeichnisdienst
    • Allgemeines: Was ist bei der Planung, Einrichtung, Administration zu berücksichtigen?
    • Schema-Verwaltung
    • Partitionierung
    • Replikation, z. B. verwendete Mechanismen zur Replikation, voreingestellte Parameter zur Replikation von Verzeichnisdienst-Inhalten, Problematik der dezentralen Administration des Verzeichnisdienstes im Zusammenhang mit Replikationskonflikten
    • Backup, z. B. Problematik des Erstellens eines Backups von Verzeichnisdiensten, Wiedereinspielen von Backups eines Verzeichnisdienst-Servers, zu ergreifende Maßnahmen beim Ausfall von Verzeichnisdienst-Servern, die die Baumstruktur definieren
    • Rechtevergabe, z. B. Vergabe von Zugriffsrechten auf Verzeichnisdienst-Objekte auf Attributsebene, Vererbung von Zugriffsrechten und Blockade der Vererbung, effektive Zugriffsrechte, rollenbasierte Administration, Delegation von administrativen Aufgaben
    • Rechtevererbung und Kalkulation der effektiven Rechte
  4. Grundlagen produktspezifischer / spezieller Verzeichnisdienste
    • produktspezifische Funktionsweise des Verzeichnisdienstes
    • produktspezifische Authentisierungsmethoden des Verzeichnisdienstes
  5. Public Key Infrastruktur (PKI)
    • Funktionsweise einer PKI
    • Zertifikate und Zertifikatstypen
    • Was ist bei der Planung einer PKI zu berücksichtigen?
    • Interaktion mittels PKI
    • Administration des Zertifikatsservers
  6. Secure Sockets Layer (SSL)
    • Grundlegende Funktionsweise des SSL-Protokolls
    • Konfiguration von SSL
  7. Lightweight Directory Access Protocol (LDAP)
    • LDAP -Zugriff auf den Verzeichnisdienst
    • mögliche Anbindungen der Benutzer
  8. Administrations- und Clientsoftware
    • Übersicht zu Administratorverantwortlichkeiten, die für den sicheren Betrieb eines SSO-Produktes erforderlich sind
    • Übersicht möglicher Fehlermeldungen, welche für den Administrator von Bedeutung sind
    • Übersicht möglicher Administratorprivilegien
    • Funktionsweise der Administrations- und Clientsoftware
    • Authentisierung der Administrations- und Clientsoftware

Wenn bei der Planung von Verzeichnisdiensten Entscheidungen über rollenbasierte Administration sowie die Delegation von Administrationsaufgaben getroffen wurden, müssen die Administratoren auch entsprechend für ihre jeweilige Aufgabe geschult werden. Besonderer Augenmerk liegt dabei auf der Gruppe der Schema-Administratoren, da diese in der Lage sind, das gesamte Datenbankdesign des Verzeichnisbaums zu verändern.

Die Administration der Verzeichnisdienst-Clientsoftware und des LDAP-Zugriffs setzt detaillierte Kenntnisse über die Konfigurationsmöglichkeiten des Systems voraus. Dabei spielt auch das zugrunde liegende Betriebssystem eine Rolle für die Definition einer Sicherheitsumgebung, insbesondere der Dateisystemsicherheit.

Prüffragen:

  • Wurden alle Administratoren in Hinblick auf die vom Verzeichnisdienst verwendeten Sicherheitsfunktionalitäten des zugrunde liegenden Betriebssystems geschult?

  • Wurden alle Administratoren im Umgang mit den relevanten client- und serverseitigen Sicherheitsmechanismen bezüglich des Verzeichnisdienstes geschult?

  • Wurden alle Administratoren im Rahmen der Rollen-basierten Administration und Delegation zusätzlich speziell für ihre Aufgaben geschult?

Stand: 13. EL Stand 2013