Bundesamt für Sicherheit in der Informationstechnik

M 4.155 Sichere Konfiguration von Novell eDirectory

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die Konfiguration von eDirectory kann um eine Vielzahl weiterer Module erweitert werden, deren Funktionen über einen reinen Verzeichnisdienst hinausgehen. Dazu gehören:

  • das LDAP-Servermodul, das einen Zugriff auf die Benutzerinformationen für LDAP -Clients erlaubt,
  • das iMonitor-Tool, welches den administrativen Zugriff über einen Web-Browser gestattet,
  • das SLP-Modul (Service Location Protocol), welches Service-URLs verwaltet und in das Ressourcenmanagement einbezieht,
  • die ConsoleOne als Administrationsplattform des eDirectory,
  • der Zertifikatsserver, der stets bei der Erstinstallation eines eDirectory-Servers innerhalb eines eDirectory-Baums installiert wird,
  • eventuell eingesetzte Zusatzmodule, wie z. B. das Modul zur Unterstützung von Groupwise.

Daraus ergibt sich ein Bündel an Konfigurationsaufgaben, das noch durch folgende Themen ergänzt wird:

  • Konfiguration der Verzeichnisbaumhierarchie,
  • Konfiguration der Objekt-Zugriffsrechte,
  • Konfiguration der Vererbungsfilter,
  • Konfiguration der Sicherheitsäquivalenzen zwischen einzelnen Objekten bzw. Objektklassen,
  • Konfiguration der Administrationsrollen,
  • Konfiguration der Delegation von Administrationsaufgaben,
  • Konfiguration der Benutzer und der Benutzergruppen,
  • Verteilung der Key Management Objekte (KMOs),
  • Konfiguration des Client-Zugriffs auf das eDirectory,
  • Konfiguration der Partitionierung der eDirectory-Verzeichnisdatenbank,
  • Konfiguration der Repliken des eDirectory-Verzeichnisdienstes,
  • Konfiguration der DirXML-Schnittstelle zur Synchronisation mit fremden Verzeichnisdiensten,
  • Konfiguration der Systemüberwachung.

Dies alles betrifft originär die eDirectory-Software. Es darf jedoch nicht vergessen werden, dass auch das zugrunde liegende Betriebssystem sicher konfiguriert werden muss, insbesondere was den Serverzugriff, die Netzanbindung und das Dateisystem betrifft.

Je nach Einsatzszenario und dem vom eDirectory-Server angebotenen Funktionsumfang muss überprüft werden, welche Zusatzmodule für den Betrieb von eDirectory benötigt werden und genutzt werden sollen. Nicht genutzte Module sollten nicht installiert werden, da jedes installierte Modul bei Fehlkonfiguration Sicherheitsprobleme verursachen kann.

Für jedes aktivierte Modul muss eine entsprechende Sicherheitsplanung durchgeführt werden. Anschließend ist diese durch geeignete Konfigurationsparameter umzusetzen (siehe auch M 2.238 Festlegung einer Sicherheitsrichtlinie für Novell eDirectory ).

eDirectory bietet weitgehende Möglichkeiten zur Konfiguration des Benutzerzugangs für die einzelnen im Verzeichnis angelegten Benutzerkonten. Neben der individuellen Konfiguration einzelner Benutzerkonten können auch Templates verwendet werden, um eine Vielzahl von Benutzerkonten identisch zu konfigurieren. Die vorhandenen Einstellungsmöglichkeiten umfassen u. a.

  • eine Beschränkung der Zeiten, zu denen eine Anmeldung an das Benutzerkonto möglich ist,
  • eine Beschränkung der IP-Adressen, von denen aus eine Anmeldung möglich ist,
  • eine Begrenzung der Anzahl gleichzeitiger Anmeldungen an ein Benutzerkonto,
  • Anforderungen an die Passwortlänge und die Gültigkeitsdauer von Passwörtern.

Außerdem gibt es die Möglichkeit, Benutzerkonten direkt zu deaktivieren oder sie nach Ablauf einer bestimmten Zeit automatisch deaktivieren zu lassen.

Die Sicherheit eines eDirectory-Systems hängt außerdem von der Sicherheit der zum Zugriff benutzten Clientsoftware ab. Daher müssen für die sichere Konfiguration eines eDirectory-Systems auch die Client-seitigen Rechner und Programme einbezogen werden. Empfehlungen hierzu sind gesondert in Maßnahme M 4.156 Sichere Konfiguration der Novell eDirectory Clientsoftware zusammengefasst. Besondere Schutzmaßnahmen sind für die administrativen Zugänge zum eDirectory zu realisieren.

Ein eDirectory-System besteht in der Regel nicht nur aus einem eDirectory-Server, sondern aus einem ganzen Serververbund (siehe auch M 2.236 Planung des Einsatzes von Novell eDirectory ). Die Verzeichnisdatenbank kann dabei in Form von einzelnen Partitionen auf verschiedene Server verteilt werden. Weiterhin können die einzelnen Server die Verzeichnisdatenbanken untereinander replizieren. Dadurch, dass mehrere Kopien einer Datenbank-Partition auf unterschiedlichen Servern vorliegen, kann eine Lastverteilung erreicht werden. Damit die Aktualität der Verzeichniskopien sichergestellt ist, müssen Veränderungen an den Daten zwischen den Servern ausgetauscht werden. Es muss daher ein Replikationskonzept erstellt werden. Unter anderem sind dabei folgende Aspekte zu berücksichtigen:

  • Welcher Server hält die Master-Replica einer eDirectory-Partition?
  • Welche Replikationstypen werden konfiguriert?
  • Auf welche Server soll das eDirectory-Verzeichnis repliziert werden?
  • Welche Informationen des eDirectory-Verzeichnisses sollen repliziert werden (Definition von Filtern)?
  • Sollen Änderungen an Replikaten des Verzeichnisses erlaubt sein und sollen diese auf das Original übertragen werden (Definition als Typ Read/Write oder als Read-Only)?

Da ein System in der Regel ständig Veränderungen durch den laufenden Betrieb unterworfen ist, muss auch die Sicherheit permanent überprüft und neu konfiguriert werden. Hinweise dazu finden sich in M 4.159 Sicherer Betrieb von Novell eDirectory .

Prüffragen:

  • Sind alle eDirectory Module gemäß der ihnen zugedachten Rolle konfiguriert?

  • Sind besondere Schutzmaßnahmen für die administrativen Zugänge zum eDirectory realisiert?

Stand: 13. EL Stand 2013