Bundesamt für Sicherheit in der Informationstechnik

M 4.157 Einrichten von Zugriffsberechtigungen auf Novell eDirectory

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Der Verzeichnisdienst eDirectory speichert in der Regel sehr viele sensitive Unternehmens- und Benutzerdaten. Es ist deshalb unerlässlich, diese Informationen nur ausdrücklich autorisierten Applikationen, Benutzern und Administratoren zugänglich zu machen. Dazu ist es notwendig, eine zuvor erstellte Sicherheitsrichtlinie, die Regelungen für die Zugriffsberechtigungen enthalten muss (siehe M 2.238 Festlegung einer Sicherheitsrichtlinie für Novell eDirectory ), konsequent und konsistent umzusetzen.

Die Rechtevergabe erfolgt bei eDirectory über Access Control Lists ( ACL s). Zugriffsberechtigungen können dabei sowohl auf Objekt- als auch auf Attributsebene vergeben werden. Folgende Objektrechte (bzw. Privilegien) stehen zur Verfügung: Browse, Create, Delete, Rename und Supervisor. Attributsrechte sind: Compare, Read, Add or Delete Self, Write, Supervisor sowie Inheritance Control. Rechte können grundsätzlich nur im positiven Sinne vergeben werden, d. h. der Zugriff wird explizit erlaubt. Ein ausdrücklicher Ausschluss eines Benutzers mittels einer Zugriffsliste kann nicht definiert werden.

Zugriffsberechtigungen werden explizit durch so genannte Trustee-Assignments vergeben. Für ein Zielobjekt wird dabei eingetragen, welche weiteren Objekte darauf zugreifen dürfen, d. h. Trustees dieses Zielobjekts sind. Umgekehrt kann man auch die Sicht eines zugreifenden Objekts einnehmen und so ablesen, auf welche Zielobjekte dieses Objekt zugreifen darf.

Zugriffsberechtigungen vererben sich entsprechend der Baumhierarchie des Verzeichnisdienstes. Dies gilt allerdings zunächst nur für die Objektrechte, die Attributsrechte vererben sich nur, wenn dies explizit konfiguriert wird. Die automatische Vererbung von Zugriffsberechtigungen von Objekten auf deren Kindobjekte kann reglementiert werden durch die Konfiguration so genannter Masken oder Inherited Rights Filter (IRF). Damit lässt sich die Vererbung der Zugriffsberechtigungen einschränken. Da über das Self-Recht eigene Attributswerte verändert werden können, ist es aus Sicherheitssicht kritisch und sollte ebenfalls mit Hilfe des Filters kontrolliert werden.

Bei einer Partitionierung des Verzeichnisbaums entsteht zunächst eine Lücke in der Vererbungskette, welche allerdings automatisch durch das Anhängen einer inherited ACL geschlossen wird.

Eine weitere Möglichkeit zur Vergabe von Zugriffsberechtigungen auf eDirectory-Objekte besteht in der Zuweisung einer so genannten Sicherheitsäquivalenz eines Objektes zu einem anderen Objekt. So kann definiert werden, dass auf Objekt X zumindest die gleichen Zugriffsmöglichkeiten existieren wie auf Objekt Y. Sämtliche Trustees von Objekt Y werden damit automatisch auch zu Trustees von Objekt X.

Wirksam bei einem Zugriffsversuch werden die so genannten effektiven Rechte, d. h. diejenigen Zugriffsberechtigungen, die sich gemäß den oben genannten Mechanismen als Endresultat ergeben. Diese effektiven Rechte werden bei jedem Zugriff dynamisch berechnet bzw. im Cache des Servers gehalten. Der Administrator hat über die Managementkonsole ConsoleOne die Möglichkeit, sich diese aktuell gültigen effektiven Rechte auf einzelne Objekte anzeigen zu lassen.

Ein wichtiger Aspekt bei der Rechtevergabe im eDirectory ist die Konfiguration der Benutzer und der Benutzergruppen (Organizational Roles). Durch geeignete Definition der Benutzer- und Administratorgruppen lässt sich die Rechtevergabe transparenter und einfacher gestalten. Dies ist zu empfehlen, da generell eine hohe Komplexität in der Administration die Gefahr durch Fehlkonfigurationen erhöht. Zur vereinfachten und konsistenten Konfiguration der Benutzer und Benutzergruppen (Organizational Roles) sollten Templates (Vorlagen) verwendet werden.

eDirectory erlaubt eine rollen- und funktionsbasierte Administration. Dazu werden so genannte RBS-Objekte (Role Based Service) und anschließend RBS-Jobobjekte sowie RBS-Funktionsobjekte definiert. Dies erfordert eine Schemaerweiterung des Verzeichnisdienstes. Mit Hilfe der RBS-Funktionsobjekte werden die Aufgaben definiert, die von Mitgliedern einer zugewiesenen Benutzergruppe (Administratorengruppe) durchgeführt werden können. Auf diese Weise wird auch die Delegation von Administrationsaufgaben ermöglicht.

Bei einer eventuellen Zusammenführung zweier oder mehrerer eDirectory-Bäume zu einem Gesamtbaum sind anschließend die resultierenden effektiven Rechte zu kontrollieren. Auch bei der Verschiebung von Partitionen innerhalb eines eDirectory-Baums ist dies zu berücksichtigen. Ebenso müssen die Zugriffsberechtigungen kontrolliert und eventuell nachkonfiguriert werden, wenn z. B. eine Windows NT-Domäne in einen eDirectory-Baum durch Migration übernommen wurde.

Prüffragen:

  • Wird die eDirectory Sicherheitsrichtlinie hinsichtlich der Regelungen für die Zugriffsberechtigungen konsequent und konsistent umgesetzt?

  • Werden zur Konfiguration von Benutzern und Benutzergruppen (Organizational Roles) Templates (Vorlagen) verwendet?

Stand: 13. EL Stand 2013