Bundesamt für Sicherheit in der Informationstechnik

M 3.86 Schulung der Administratoren von OpenLDAP

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Um Open LDAP sicher einzurichten und zu betreiben, werden detaillierte Kenntnisse über OpenLDAP und seine grundlegenden Konzepte benötigt. Eine Schulung der Administratoren zu OpenLDAP und den zugehörigen Sicherheitsthemen ist daher unerlässlich.

Schulungsinhalte

Wie tief sich ein Administrator mit den einzelnen Punkten beschäftigen muss, hängt von seinem Tätigkeitsfeld ab. Allgemeine Inhalte zu Verzeichnisdiensten werden in M 3.62 Schulung zur Administration von Verzeichnisdiensten aufgeführt. Schulungsinhalte sollten für OpenLDAP in jedem Fall die folgenden Stichpunkte umfassen und diese erläutern.

Grundlagen

  • Überblick über den Aufbau von OpenLDAP, Verständnis von Backends und Overlays
  • Planung, Einrichtung, Konfiguration ("slapd.conf" und "slapd-config")
  • Grundlegende Kenntnisse, die zur Installation der Anwendung aus dem Quelltext befähigen
  • Verständnis im Umgang mit Informationsquellen zu Open Source Software
  • Kenntnis des LDAP Data Interchange Formats (LDIF)
  • Objektklassen und operationelle Attribute
  • Kenntnis der Werkzeuge von OpenLDAP und des systematischen Unterschieds zwischen ldap*- und slap*-Werkzeugen

Schema-Verwaltung

  • Problematik und Auswirkungen von Schema-Veränderungen
  • Attributseinschränkungen durch Overlays innerhalb der Schemata
  • Unterscheidung von normalen und operationellen Attributen

Replikation

  • Verwendete Mechanismen zur Replikation bei OpenLDAP ("refreshOnly" und "refreshAndPersist")
  • Suchfilter und operationelle Attribute
  • Ausblick auf die Delta-Replikation
  • Ausblick auf Multi-Master- und Mirror-Mode-Betrieb im Zusammenhang mit Replikationskonflikten

Datensicherung

  • Problematik des Erstellens einer Datensicherung von OpenLDAP
  • Sicherung der Konfiguration für beide Konfigurationsmodi
  • Wiedereinspielen von Datensicherungen mittels "slapadd"

Vergabe von Zugriffsrechten

  • Vergabe von Zugriffsrechten auf Verzeichnisdienstobjekte
  • Zusammenwirken von globalen und datenbankspezifischen ACLs
  • Mögliche Zugriffsrechte

Authentisierung

  • Hash-Algorithmen
  • Kerberos
  • SASL
  • SSL / TLS -Zertifikate

Prüffragen:

  • Wurden alle Administratoren zu OpenLDAP und den zugehörigen Sicherheitsthemen geschult?

Stand: 13. EL Stand 2013