Bundesamt für Sicherheit in der Informationstechnik

M 4.383 Sichere Installation von OpenLDAP

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Bei der Installation von Open LDAP sind verschiedene Aspekte zu berücksichtigen, die direkten Einfluss auf die Sicherheit haben. Diese Maßnahme kann lediglich Hinweise auf besonders zu beachtende Punkte geben. Sie bezieht sich auf die Installation von OpenLDAP aus dem Quelltext. Binärpakete von Betriebssystemherstellern oder Distributoren können davon abweichen, so lösen diese in der Regel die Abhängigkeiten zu anderen Anwendungen selbstständig auf. Die mit OpenLDAP gelieferte Dokumentation, insbesondere die Manpages und die "help"-Ausgabe des Skripts "configure" liefern weitere Informationen.

Absicherung des Servers

Auch der Server, auf dem OpenLDAP betrieben wird, sollte nach IT-Grundschutz abgesichert werden. Die mit OpenLDAP verarbeiteten Verzeichnisdienstinhalte müssen auf einem lokalen Speichermedium unter Kontrolle des Serverbetriebssystems gespeichert werden, denn auf einem verteilten Dateisystem wie NFS (Network File System) stehen einige, für OpenLDAP notwendige Funktionen nicht zur Verfügung. Auf dem Server muss der Port 389 erreichbar sein. Wird "ldaps://" verwendet (siehe M 5.170 Sichere Kommunikationsverbindungen beim Einsatz von OpenLDAP ), muss der Port 636 ebenfalls geöffnet werden. Andere Dienste sollten auf dem Server nicht betrieben werden (siehe auch M 4.97 Ein Dienst pro Server ).

Weitere Software-Produkte

Bei der Installation von OpenLDAP ist zu überprüfen, ob alle im Rahmen der Planung (siehe M 2.484 Planung von OpenLDAP ) identifizierten weiteren Anwendungen in einer kompatiblen Version installiert sind. Dies gilt insbesondere für die BerkeleyDB. Ist diese bereits installiert, kann die Version am Eintrag DB_VERSION_STRING der Datei "db.h" abgelesen werden. Der Speicherort dieser Datei hängt von der Installation der BerkeleyDB ab, üblich sind auf einem Unix- oder Linux-System /usr/include/db.h, /usr/local/include/db.h und /usr/local/BerkeleyDB/include/db.h. Wird eine Betriebssystem-Distribution verwendet, kann die Version auch im Paketmanager abgefragt werden.

Sind noch weitere Anwendungen zu installieren, kann die Reihenfolge der Installationen wichtig sein, damit für eine Anwendung jeweils alle benötigten Header-Informationen gefunden werden. Eine sinnvolle Installationsreihenfolge ist beispielsweise:

1. OpenSSL oder GnuTLS

2. BerkeleyDB

3. Heimdal Kerberos oder MIT Kerberos

4. Cyrus-SASL

5. OpenLDAP

6. Heimdal Kerberos (sofern schon in Schritt 3 verwendet)

7. Cyrus-SASL

Die zweifache Installation von Heimdal Kerberos (nicht MIT Kerberos) und Cyrus-SASL vor und nach OpenLDAP kann sinnvoll sein, da diese Programme dann wiederum in OpenLDAP Benutzerdaten hinterlegen können.

Übersetzung und Installation von OpenLDAP

Die Version der Software muss vor der Installation sorgfältig ausgewählt und deren Integrität überprüft werden (siehe M 4.382 Auswahl und Prüfung der OpenLDAP-Installationspakete ).

Ein Quelltextpaket sollte unter einem unprivilegierten Benutzeraccount entpackt und mit Hilfe des Skripts "configure" konfiguriert werden. Nicht genutzte Backends und Overlays müssen durch Konfigurationsparameter von der Installation ausgeschlossen werden, da sie wie jede installierte Software die Gefahr von Schwachstellen und Fehlkonfigurationen bergen. Zu beachten ist weiter, dass die Parameter bei der Installation bzw. beim configure-Skript Auswirkungen auf die zu verwendende Konfiguration haben. Beispielsweise können Backends und Overlays fest einkompiliert oder als Module dynamisch geladen werden. Wird das dynamische Laden aktiviert, kann OpenLDAP nicht ohne Weiteres mit einer Konfiguration eingesetzt werden, die fest einkompilierte Backends und Overlays erwartet.

Nachdem das Paket konfiguriert wurde, sind mit dem Programmaufruf "make depend" Abhängigkeiten zu den oben vorbereiteten Anwendungen einzufügen, bevor OpenLDAP mit dem Programmaufruf "make" übersetzt wird. Die übersetzte Software sollte wegen der beschriebenen Abhängigkeiten mittels "make test" geprüft werden. Erst der letzte Schritt, die eigentliche Installation des übersetzten Programms mit "make install", muss gegebenenfalls mit höheren Privilegien erfolgen. Hat der unprivilegierte Benutzeraccount Schreibberechtigungen für sämtliche Zielverzeichnisse der Installation, so kann selbst dieser letzte Schritt ohne root-Berechtigungen durchgeführt werden. Dadurch wird die Sicherheit bei der Installation erhöht, da ein gegebenenfalls fehlerhaftes oder manipuliertes Programm auf diese Weise nur eingeschränkte Rechte erhält.

Wird OpenLDAP aus dem Quelltext übersetzt, müssen die gewählten Parameter genau dokumentiert werden. Zudem empfiehlt es sich, ein Protokoll der Ausgaben des Konfigurations- und Übersetzungslaufs (beispielsweise, indem Ausgaben in eine Datei umgeleitet werden) anzufertigen und aufzubewahren. Alle Installationsschritte sollten dokumentiert werden, damit sie sich im Notfall schnell reproduzieren lassen. Dies betrifft neben den Einstellungen beim Übersetzen auch Installationspfade, Berechtigungen, Änderungen an der Konfiguration und ähnliche Informationen.

Der Start des slapd-Servers sollte im Allgemeinen aus den Startup-Skripten des Betriebssystems erfolgen. So ist der slapd-Server nach einem Neustart des Servers sofort verfügbar und es ist sichergestellt, dass beispielsweise keine Parameter beim Starten des Servers vergessen werden.

Prüffragen:

  • Sind die für den slapd-Server nötigen Ports freigegeben, wenn ein lokaler Paketfilter eingesetzt wird?

  • Wird die Installation von OpenLDAP nachvollziehbar dokumentiert?

  • Werden nur Backends und Overlays für OpenLDAP übersetzt, die auch verwendet werden?

  • Wird überprüft, ob Anwendungen, von denen OpenLDAP abhängig ist, in einer kompatiblen Version installiert sind?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK