Bundesamt für Sicherheit in der Informationstechnik

M 4.307 Sichere Konfiguration von Verzeichnisdiensten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Nachdem ein Verzeichnisdienst vollständig installiert ist (siehe M 4.308 Sichere Installation von Verzeichnisdiensten ), sollte er sich in einem sicheren Zustand befinden, so dass in der anschließenden Konfigurationsphase nur berechtigte Administratoren auf den Verzeichnisdienst zugreifen können.

Die nachfolgende Konfiguration des Verzeichnisdienstes kann je nach Einsatzszenario um eine Vielzahl von Funktionen erweitert werden, die über einen reinen Verzeichnisdienst hinausgehen. Dabei ist die Sicherheit der verschiedenen Funktion durch geeignete Parameter bei der Konfiguration zu gewährleisten.

Typische Konfigurationsaufgaben bei Verzeichnisdiensten sind:

  • Konfiguration der Verzeichnisbaumhierarchie,
  • Konfiguration der Objekt-Zugriffsrechte,
  • Konfiguration der Vererbungsfilter,
  • Konfiguration der Administrationsrollen,
  • Konfiguration der Delegation von Administrationsaufgaben,
  • Konfiguration der Benutzer und der Benutzergruppen,
  • Verteilung der Schlüssel-Objekte,
  • Konfiguration des Client-Zugriffs auf den Verzeichnisdienst,
  • Konfiguration der Partitionierung der Verzeichnisdatenbank,
  • Konfiguration der Replikation des Verzeichnisdienstes,
  • Konfiguration der Schnittstelle zur Synchronisation mit fremden Verzeichnisdiensten,
  • Konfiguration der Systemüberwachung.

Dies alles betrifft originär die Verzeichnisdienst-Software. Es darf jedoch nicht vergessen werden, dass auch das zugrunde liegende Betriebssystem sicher konfiguriert werden muss, insbesondere was den Serverzugriff, die Netzanbindung und das Dateisystem betrifft.

Die Konfiguration von Verzeichnisdiensten kann um eine Vielzahl weiterer Module erweitert werden, deren Funktionen über einen reinen Verzeichnisdienst hinausgehen. Dazu gehören:

  • Das LDAP -Servermodul, das einen Zugriff auf die Benutzerinformationen für LDAP-Clients erlaubt,
  • das Tool, welches den administrativen Zugriff über einen Web-Browser gestattet,
  • die Konsole (das Werkzeug) als Administrationsplattform des Verzeichnisdienstes,
  • der Zertifikatsserver, der bei der Erstinstallation eines Verzeichnisdienst-Servers innerhalb eines Baums installiert wird und
  • eventuell weitere eingesetzte Zusatzmodule.

Je nach Einsatzszenario und dem vom Verzeichnisdienst-Server angebotenen Funktionsumfang muss überprüft werden, welche Zusatzmodule für den Betrieb des Verzeichnisdienstes benötigt werden und genutzt werden sollen. Nicht genutzte Module sollten nicht installiert werden, da jedes installierte Modul bei Fehlkonfiguration Sicherheitsprobleme verursachen kann.

Für jedes aktivierte Modul muss eine entsprechende Sicherheitsplanung durchgeführt werden. Anschließend ist diese durch geeignete Konfigurationsparameter umzusetzen (siehe auch M 2.405 Erstellung einer Sicherheitsrichtlinie für den Einsatz von Verzeichnisdiensten ).

Die Sicherheit eines Verzeichnisdienst-Systems hängt außerdem von der Sicherheit der zum Zugriff benutzten Clientsoftware ab. Daher müssen für die sichere Konfiguration eines Verzeichnisdienst-Systems auch die client-seitigen Rechner und Programme einbezogen werden. Besondere Schutzmaßnahmen sind für die administrativen Zugänge zum Verzeichnisdienst zu realisieren.

Die folgenden, generischen Hinweise sollten in jedem Fall beachtet werden:

  • Zur Absicherung der jeweiligen Client-Installation sind die relevanten Bausteine der IT-Grundschutz-Kataloge für das jeweilige zugrunde liegende Betriebssystem anzuwenden.
  • Soll die Clientsoftware zum Verzeichnisdienst eine mittels SSL geschützte LDAP-Verbindung aufbauen, muss der Client ein entsprechendes Wurzelzertifikat erhalten, anhand dessen er die Authentizität des SSL-Serverzertifikats überprüfen kann.
  • Die Sicherheit der Verzeichnisdienst-Installation hängt auch von der Integrität der zur Administration verwendeten Clients ab. Die Absicherung dieser Clients ist daher besonders wichtig.

Es ist auch möglich, eigene Clientsoftware zu erstellen, die mit dem Verzeichnisdienst über die standardisierte LDAP-Schnittstelle (oder andere dafür vorgesehene Schnittstellen) kommuniziert.

Ein Verzeichnisdienst-System besteht in der Regel nicht nur aus einem Verzeichnisdienst-Server, sondern aus einem ganzen Serververbund (siehe auch M 2.403 Planung des Einsatzes von Verzeichnisdiensten ). Die Verzeichnisdatenbank kann dabei in Form von einzelnen Partitionen auf verschiedene Server verteilt werden. Weiterhin können die einzelnen Server die Verzeichnisdatenbanken untereinander replizieren. Dadurch, dass mehrere Kopien einer Datenbank-Partition auf unterschiedlichen Servern vorliegen, kann eine Lastverteilung erreicht werden. Damit die Aktualität der Verzeichniskopien sichergestellt ist, müssen Veränderungen an den Daten zwischen den Servern ausgetauscht werden. Es muss daher ein Replikationskonzept erstellt werden. Unter anderem sind dabei folgende Aspekte zu berücksichtigen:

  • Werden die Verzeichnisdienst-Server im Master-Slave-Modus betrieben oder ist eine Multi-Master-Replikation realisiert?
  • Welche Replikationstypen werden konfiguriert?
  • Auf welche Server soll der Verzeichnisdienst repliziert werden?
  • Welche Informationen des Verzeichnisdienstes sollen repliziert werden (Definition von Filtern)?
  • Sollen Änderungen an Replikaten des Verzeichnisdienstes erlaubt sein und sollen diese auf das Original übertragen werden (Definition als Typ Read/Write oder als Read-Only)?

Da ein System in der Regel ständig Veränderungen durch den laufenden Betrieb unterworfen ist, muss auch die Sicherheit permanent überprüft und neu konfiguriert werden. Hinweise dazu finden sich in M 4.311 Sicherer Betrieb von Verzeichnisdiensten .

Prüffragen:

  • Sind alle Verzeichnisdienst-Server gemäß der ihnen zugedachten Rolle sicher konfiguriert?

  • Wurden bei der Konfiguration auch die client-seitigen Rechner und Programme einbezogen?

Stand: 13. EL Stand 2013