Bundesamt für Sicherheit in der Informationstechnik

M 4.156 Sichere Konfiguration der Novell eDirectory Clientsoftware

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Nach der Planung und Installation eines eDirectory-Systems (siehe M 2.236 Planung des Einsatzes von Novell eDirectory ) muss das Verzeichnissystem inklusive seiner Clientsoftware auf den relevanten Rechnern konfiguriert werden.

Aufgrund der Vielzahl möglicher Applikationen und Dienste, die als Clientsoftware für eDirectory in Betracht kommen, wird im Folgenden nicht detailliert auf spezifische Konfigurationsmöglichkeiten eingegangen. Unter anderem ist es auch möglich, eigene Clientsoftware zu erstellen, die mit eDirectory über die standardisierte LDAP -Schnittstelle kommuniziert.

Die folgenden, generischen Hinweise sollten in jedem Fall beachtet werden:

  • Zur Absicherung der jeweiligen Client-Installation sind die relevanten Maßnahmen der IT-Grundschutzhand-Kataloge für das jeweilige zugrunde liegende Betriebssystem anzuwenden.
  • Soll die Clientsoftware zum eDirectory eine mittels SSL geschützte LDAP-Verbindung aufbauen, muss der Client ein entsprechendes Wurzelzertifikat erhalten, anhand dessen er die Authentizität des SSL-Serverzertifikats überprüfen kann.

Die Administration von eDirectory erfolgt über das Programm ConsoleOne von einem Client aus. Die Sicherheit der eDirectory-Installation hängt auch von der Integrität der zur Administration verwendeten Clients ab. Die Absicherung dieser Clients ist daher besonders wichtig.

Zum einen muss für administrativ genutzte Clientsoftware die Integrität der jeweiligen Betriebssystemplattform geschützt werden. Dafür können z. B. Zugriffsbeschränkungen auf Systemdateien eingerichtet werden, sofern solche Beschränkungen nicht bereits in der Voreinstellung des Betriebssystems vorhanden sind. Neben dem Schutz der unterliegenden Betriebssystemplattform des Clients ist auch ein Schutz der Administrationssoftware selbst erforderlich. Durch die Vergabe geeigneter Zugriffsbeschränkungen müssen die Verzeichnisse, in denen die ConsoleOne und die entsprechende Zusatzsoftware installiert sind, vor Manipulationen oder Überschreiben geschützt werden.

Speziell für den Novell Client für Windows ist das Zusatzmodul NMAS (Novell Modular Authentication Services) verfügbar. Dies erlaubt die Konfiguration zusätzlicher Authentisierungsmethoden (z. B. mittels Smartcard, Biometrie, RADIUS-Protokoll) für den Zugriff auf das eDirectory. Auch Kombinationen von Authentisierungsmethoden sind nutzbar. Auf Seite des eDirectory lassen sich bei Verwendung dieses Moduls Zugriffsrechte in Abhängigkeit der verwendeten Authentisierungsmethode konfigurieren.

Prüffragen:

  • Geschützte LDAP -Verbindung von Clientsoftware zum eDirectory mittels SSL : Besitzt der Client ein entsprechendes Wurzelzertifikat?

Stand: 13. EL Stand 2013