Bundesamt für Sicherheit in der Informationstechnik

M 4.385 Konfiguration der durch OpenLDAP verwendeten Datenbank

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

In Open LDAP können durch die Konfigurationsdirektiven Einstellungen für das tatsächlich verwendete Datenbankmanagementsystem (DBMS) vorgenommen werden. Die Einstellungen sind nur für die BerkeleyDB über die Backends "back-bdb" oder "back-hdb" möglich. Sie haben keinen unmittelbaren Einfluss auf die Funktion und Bedienung von OpenLDAP, haben aber große Auswirkungen auf die Performance des Verzeichnisdienstes. Im Folgenden werden nur sicherheitsrelevante Einstellungen und häufige Fehlerquellen aufgeführt. Für weitere Einstellungen sollte gegebenenfalls ein Datenbankspezialist zurate gezogen werden. Beispielsweise ergeben sich aus den Einstellungen zur Zwischenspeicherung und Transaktionsprotokollen Geschwindigkeitsvorteile zu Lasten einer optimalen Integrität, die sorgsam im Einzelfall abzuwägen sind.

  • dbDirectory bzw. olcDbDirectory
    Über die Direktive kann der Speicherort für Datenbankdateien im IT -System festgelegt werden, auf dem der slapd-Server betrieben wird. Die Benutzerkennung, in deren Kontext OpenLDAP ausgeführt wird," muss Schreibrechte auf das angegebene Verzeichnis haben.
  • dbConfig bzw. olcDbConfig
    Die in dieser Direktive vorgenommenen Einstellungen sind datenbankspezifisch und werden in die Datei "DB_CONFIG" des DBMS eingetragen. Wenn eine solche Datei noch nicht existiert, wird sie durch die Nutzung dieser Direktive erstellt. Es ist zu beachten, dass spätere Änderungen in der Zieldatei selbst, beispielsweise mit einem Texteditor, die hier gewählten Einstellungen überschreiben. Deshalb muss festgelegt sein, wie und durch wen an welcher Stelle Einstellungen vorgenommen werden. Änderungen der Direktive erzwingen immer einen Neustart des DBMS, jedoch nicht des slapd-Servers. Dies kann je nach Umfang und Einstellungen der Datenbank eine längere Zeit in Anspruch nehmen, währenddessen der Verzeichnisdienst nicht verfügbar ist. Änderungen der Datenbank-Konfiguration sollten deshalb sorgfältig geplant und möglichst in Wartungsfenstern z. B. nachts oder am Wochenende umgesetzt werden.
  • dbIndex bzw. olcDbIndex
    Mit dieser Direktive können Attribute von Verzeichnisdienstobjekten festgelegt werden, für die ein Index erstellt werden soll. Ohne einen Index müssen bei einer Suche sämtliche Objekte aufgerufen und geprüft werden. Um die Verfügbarkeit zu verbessern, sollten deshalb häufige Suchen durch einen Index unterstützt werden. Fehlende aber wünschenswerte Indizes können aus den OpenLDAP-Protokollen (siehe M 4.407 Protokollierung beim Einsatz von OpenLDAP ) erkannt werden. Erscheint dort häufig der Hinweis, dass der Zugriff auf einen bestimmten Attributsindex fehlschlug, sollte ein entsprechender Index eingerichtet werden. Die in der Direktive angegebenen Indizes werden vom slapd-Server automatisch erzeugt. Sollte der slapd-Server während des Indizierungsvorgangs gestoppt werden, so wird die Indizierung nicht automatisch fortgesetzt. In diesem Fall ist sie mit dem Werkzeug slapindex manuell durchzuführen.
  • dbMode bzw. olcDbMode
    Über diese Direktive werden die Benutzerrechte festgelegt, die für neu angelegte Datenbankdateien gelten. Die Voreinstellung 0600 bzw. -rw------- gewährt lediglich der Benutzerkennung Zugriff, in deren Kontext der slapd-Server betrieben wird. Diese Voreinstellung ist sinnvoll und sollte nicht geändert werden.

Prüffragen:

  • Werden Zugriffsrechte für neu angelegte Datenbankdateien auf die Benutzerkennung beschränkt, in deren Kontext der slapd-Server betrieben wird?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK