Bundesamt für Sicherheit in der Informationstechnik

M 4.153 Sichere Installation von Novell eDirectory

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Nach erfolgter Planung eines eDirectory-Verzeichnissystems (siehe M 2.236 Planung des Einsatzes von Novell eDirectory ) muss eDirectory auf den relevanten Servern installiert werden. Während der Installationsphase ist ein eDirectory-Server nicht vollständig konfiguriert, sodass auch die gewünschten Sicherheitseinstellungen noch nicht aktiviert sind. Es empfiehlt sich daher, die erstmalige Konfiguration entweder in einer geschützten Umgebung durchzuführen oder alternativ eine vorbereitete Standardkonfiguration aufzuspielen.

Bei der Installation eines eDirectory-Servers in einen bereits bestehenden Verzeichnisbaum muss dessen genauer Kontext spezifiziert werden. Eine spätere Verschiebung des Servers innerhalb des Baums ist nur mit größerem Aufwand zu bewerkstelligen.

Während der Installation erfolgt u. a. auch die erstmalige Konfiguration der lokalen Sicherheitseinstellungen. Die wichtigsten Grundeinstellungen beziehen sich auf

  • die Definition des eDirectory-Baums,
  • die eDirectory-Zugriffsberechtigungen,
  • die eDirectory-Vererbungseinstellungen und
  • die Sicherheitseinstellungen für den LDAP -Zugriff.

Während der Installation lassen sich diese Einstellungen zum Teil vorgeben, ein Teil wird jedoch zunächst mit Standardwerten initialisiert. Bei Servern, die

als Erstes einen neuen eDirectory-Baum repräsentieren, muss zunächst die Zertifikatsserver-Komponente von eDirectory installiert werden, bevor ein durch SSL geschützter LDAP-Zugriff verwendet werden kann. Die Alternative hierzu ist, dass der eDirectory-Server einem bereits bestehenden eDirectory-Baum beitritt.

Je nachdem, welche eDirectory-Module zum Einsatz kommen, ist für jedes Modul eine sichere Installationskonfiguration einzurichten, die den Zugriff verhindert, solange sich der Server in der erstmaligen Konfigurationsphase befindet und bis die festgelegten Sicherheitsrichtlinien umgesetzt worden sind. Weitere Empfehlungen hierzu finden sich in M 4.155 Sichere Konfiguration von Novell eDirectory .

Generell ist bei der Installation aus Sicherheitssicht Folgendes zu beachten:

  • Die geltenden Zugriffseinstellungen für das Verzeichnissystem nach einer eDirectory-Installation hängen davon ab, ob die Software neu installiert wurde oder ob ein Upgrade erfolgt ist.
  • Weitere Upgrade-Mechanismen können die Standardeinstellungen verändern, z. B. die Einbeziehung einer Windows NT-Domäne in einen eDirectory-Baum.
  • Soll ein neuer Server in einen existierenden eDirectory-Baum aufgenommen werden, so erlaubt es der implizite Vererbungsmechanismus, die erstmalige Konfiguration deutlich abzukürzen.
  • Bei der Installation der eDirectory-Server ist besondere Sorgfalt erforderlich, da diese im späteren Betrieb sensitive Daten speichern.

eDirectory-Server dürfen nur auf Servern installiert und betrieben werden, die sich in einer physikalisch sicheren Umgebung befinden (siehe auch M 1.29 Geeignete Aufstellung eines IT-Systems ). Dies gilt insbesondere für eDirectory-Server, auf denen die Partition mit dem Security-Container abgelegt ist.

Prüffragen:

  • Wird die die erstmalige Konfiguration von Novell eDirectory in einer geschützten Umgebung durchgeführt?

Stand: 13. EL Stand 2013