Bundesamt für Sicherheit in der Informationstechnik

M 4.158 Einrichten des LDAP-Zugriffs auf Novell eDirectory

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

LDAP (Lightweight Directory Access Protocol) ist ein Protokoll zum Zugriff auf Daten eines Verzeichnisdienstes. LDAP wurde ursprünglich als Alternative zu DAP (Directory Access Protocol) entwickelt, das im Rahmen des X.500-Directory-Standards definiert wurde. Das zugrunde liegende Datenmodell und die innerhalb des Protokolls möglichen Operationen wurden dabei im Wesentlichen vom X.500-Standard übernommen. Die aktuelle Version des Protokolls, LDAP Version 3, hat sich inzwischen zum dominierenden Standard für den Zugriff auf Verzeichnisdienste entwickelt.

eDirectory verfügt über eine LDAP-Schnittstelle. Dies ermöglicht z. B. die folgenden Einsatzszenarien:

  • eDirectory wird im Internet platziert, z. B. als so genannte eBusiness-Plattform oder einfach als Zertifikatsdatenbank. Die Benutzer greifen über das Internet mit Hilfe eines geeigneten, LDAP-fähigen Software-Clients darauf zu.
  • eDirectory wird im Intranet einer Organisation zur Verwaltung von Benutzerkonten oder Ressourcen im Netz eingesetzt. Dann sind neben direkten Benutzerzugriffen über einen LDAP-Client auch Zugriffe von Netzapplikationen möglich. Außer über die Novell-eigenen Protokolle können diese Zugriffe ebenso über die LDAP-Schnittstelle erfolgen.

In beiden Fällen ist der LDAP-Zugriff entsprechend der zuvor definierten Sicherheitsrichtlinie (siehe M 2.238 Festlegung einer Sicherheitsrichtlinie für Novell eDirectory ) zu konfigurieren.

Anonymer LDAP-Zugriff

eDirectory erlaubt prinzipiell eine anonyme Anmeldung von LDAP-Clients. In der Voreinstellung hat dabei der LDAP-Client die Zugriffsrechte, die für das Objekt [Public] im eDirectory eingetragen sind. Das Objekt [Public] ist ein virtuelles Objekt, das lediglich der Rechtevergabe im eDirectory dient. Jeder Zugriff auf Objekte im Verzeichnisbaum erfolgt automatisch mindestens mit den Rechten, die diesem Objekt eingeräumt werden.

In der Voreinstellung verfügt [Public] über das Recht Browse auf dem gesamten Baum.

Sollen anonymen Benutzern auf einzelne Teilbereiche des Verzeichnisbaums weitergehende Zugriffe eingeräumt werden, so sollte dafür ein gesondertes Benutzerkonto angelegt werden. Dieses Benutzerkonto muss dann als so genannter Proxy-User für den anonymen LDAP-Zugriff eingetragen werden. Dieses Konto darf kein Passwort erfordern, damit ein anonymer Zugang möglich ist. Es muss ferner darauf geachtet werden, dass dieses Benutzerkonto auch kein Passwort einrichten kann, da der anonyme Zugang sonst durch einen einzelnen Client blockiert werden könnte.

Bereits bei der Planung des Einsatzes eines Verzeichnisdienstes muss entschieden werden, welche Daten über eine anonyme Anmeldung zugänglich sein dürfen (siehe auch M 2.238 Festlegung einer Sicherheitsrichtlinie für Novell eDirectory ). Entsprechend dieser Entscheidung müssen die Zugriffsrechte für den Proxy-User im eDirectory konfiguriert werden.

Einsatz von Novell eDirectory als LDAP-Server im Internet

Wird eDirectory als LDAP-Server im Internet eingesetzt, so sollten die entsprechenden Server durch eine Firewall geschützt werden. Diese sollte so konfiguriert werden, dass nur die zum Betrieb der LDAP-Server notwendigen Datenpakete zu den LDAP-Servern weitergeleitet werden. Meist wird es sich dabei um TCP-Pakete an die Ports 389 und 636 handeln, die standardisierten Port-Nummern für LDAP bzw. LDAP über SSL.

Für Daten, auf die nicht anonym zugegriffen werden darf, ist eine Authentisierung des jeweiligen LDAP-Clients notwendig. Das Ergebnis einer erfolgreichen Authentisierung ist ein NDS User Bind des LDAP-Clients an das eDirectory. Der jeweilige Client authentisiert sich also als im eDirectory-Verzeichnis eingetragener Benutzer.

Um zu verhindern, dass Kennwörter im Klartext über das Internet übertragen werden, sollte für die entsprechende LDAP-Gruppe der Schalter allowing cleartext passwords nicht gesetzt sein (siehe auch M 5.97 Absicherung der Kommunikation mit Novell eDirectory ). Dies entspricht auch der Voreinstellung von eDirectory. Mit dieser Einstellung sind anonyme LDAP-Verbindungen ebenso möglich wie eine Benutzeranmeldung mit LDAP über SSL.

Grundsätzlich wird empfohlen, SSL für die Kommunikation und Übertragung einzusetzen. Hierbei werden die Optionen ein- sowie zweiseitige Authentisierung unterstützt. Zweiseitige Authentisierung bedeutet, dass auch der Client in Besitz eines gültigen Zertifikats sein muss und dass auf Basis des zugehörigen privaten Schlüssels ein Session-Key generiert wird. Dies ist die sicherste Konfiguration. Alternativ kann die Client-Authentisierung jedoch auch über ein Passwort erfolgen. Durch die Verwendung einer verschlüsselten SSL-Verbindung zum Server ist die Vertraulichkeit des Passworts bei der Übertragung gewährleistet. In jedem Fall müssen die Benutzer das CA -Wurzelzertifikat in ihren LDAP-Client, z. B. einen Browser, importieren, damit die eingerichteten Vertrauensbeziehungen auch lokal nachvollzogen werden können.

Wird kein SSL verwendet, so können die Benutzerpasswörter im Klartext über das Internet an das eDirectory übertragen werden (siehe auch M 5.97 Absicherung der Kommunikation mit Novell eDirectory ). Dies sollte aber vermieden werden. Um es ausdrücklich zu unterbinden, muss die Option allowing cleartext passwords auf disabled geschaltet sein.

Konfiguration des LDAP-Zugriffes bei Schemaänderungen

eDirectory bietet die Möglichkeit, die innerhalb von LDAP verwendeten standardisierten Objektklassen auf andere im eDirectory intern verwendete Objektklassen abzubilden. Diese Eigenschaft wird relevant, wenn LDAP-Clients bei der Suche standardisierte LDAP-Objektklassen verwenden, die entsprechenden Daten sich jedoch in Attributen von eDirectory-Objektklassen mit anderen Namen befinden. Bei der erstmaligen Verwendung von LDAP-Clients oder bei Änderungen des eDirectory-Schemas sollte daher überprüft werden, ob die Abbildung der LDAP-Objektklassen auf eDirectory-Objektklassen schlüssig ist und die verwendeten LDAP-Applikationen damit korrekt funktionieren.

Prüffragen:

  • Ist für die LDAP -Gruppe der Schalter allowing cleartext passwords nicht gesetzt, so dass Kennwörter nicht im Klartext übertragen werden?

  • Sind alle eDirectory-Server, die vom Internet aus über LDAP angesprochen werden können, durch eine Firewall geschützt?

  • Ist sichergestellt, dass Proxy-User (Konto für den anonymen LDAP -Zugriff) über ihr Benutzerkonto kein Passwort einrichten können?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK