Bundesamt für Sicherheit in der Informationstechnik

M 4.386 Einschränkung von Attributen bei OpenLDAP

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Der slapd-Server kann durch Overlays in die Lage versetzt werden, Restriktionen umzusetzen, ohne dass dafür Schemas angepasst oder erstellt werden müssen. Derartige Einschränkungen sind sinnvoll, um die Qualität und Integrität der Verzeichnisdienstinhalte zu verbessern. Folgende Overlays können verwendet werden:

  • constraint
    Das Overlay "constraint" (Constraints) ermöglicht, dass Werte einem bestimmten regulären Ausdruck entsprechen müssen. So kann beispielsweise erzwungen werden, dass das Attribut "mail" lediglich mit Mailadressen der eigenen Institution belegt werden kann.
  • unique
    Das Overlay "unique" (Attribute Uniqueness) ermöglicht, dass ein ausgesuchter Wert lediglich einmal im Verzeichnisbaum vorhanden sein darf. So kann beispielsweise verhindert werden, dass eine Personalnummer zwei verschiedenen Benutzern zugewiesen wird.
  • refint
    Das Overlay "refint" (Referential Integrity) wahrt die referenzielle Integrität von Referenz-Attributen. Werden zum Beispiel Distinguished Names (DNs) als Gruppenmitglieder eingetragen oder der DN eines Vorgesetzten in einem Attribut beim Mitarbeiter hinterlegt, so ändert das Overlay "refint" diese Referenzen, wenn der jeweilige DN verändert wird. Dafür führt "refint" bei der Änderung jedes DNs eine Suche durch, ob der DN in solche Attribute eingetragen ist. Änderungen setzt das Overlay "refint" im Attribut um, im Fall der Löschung entfernt es den DN.
    Achtung: Entfernt das Overlay das letzte Mitglied aus einer Gruppe, so wird stattdessen der in der Sub-Direktive "refint_nothing" definierte DN eingefügt, da leere Gruppen das Gruppenschema verletzen können. Hier ist darauf zu achten, einen geeigneten DN, wie einen fachlichen Administrator, vorzugeben, damit kein DN mit geringeren Rechten durch die Gruppe unangemessene Rechte erhalten würde.

Bei derartigen Beschränkungen ist zu beachten, dass diese nur für neue oder geänderte Attribute und Objekte gelten. Bestehen Verstöße gegen die festgelegten Regeln, bevor die Overlays aktiviert werden oder werden unpassende Datensätze durch einen direkten Zugriff auf die verwendete Datenbank eingefügt, so wirken die genannten Overlays nicht.

Solche Restriktionen dürfen ausschließlich auf Nutzerdaten angewendet werden. Werden die Beschränkungen zum Beispiel verwendet, um operationelle Attribute vorzugeben oder werden sie innerhalb der "slapd-config"-Konfiguration erzwungen, kann dies zu unvorhersehbarem Verhalten bis hin zur Unbrauchbarkeit des slapd-Servers führen.

Prüffragen:

  • Werden die Einschränkungen von Attributen von OpenLDAP ausschließlich auf Nutzerdaten und nicht auf operationelle Attribute angewendet?

Stand: 13. EL Stand 2013