Bundesamt für Sicherheit in der Informationstechnik

M 4.391 Sicherer Betrieb von OpenLDAP

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Um die Sicherheit von Open LDAP auch im Betrieb aufrecht zu erhalten, müssen regelmäßig eine Reihe von Schritten durchgeführt werden, um eventuelle Probleme rechtzeitig zu entdecken.

Beim Betrieb von OpenLDAP sollten insbesondere folgende Aspekte berücksichtigt werden:

  • Es ist darauf zu achten, dass der slapd-Server mit der beabsichtigten Konfiguration gestartet wird. Mit dem Parameter "-f [Pfad/Dateiname]" wird eine zu verwendende slapd.conf festgelegt, mit dem Parameter "-F [Pfad]" ein zu verwendendes slapd-config-Verzeichnis. Wichtig ist, dass sich die Konfigurationen nicht ergänzen, wenn gleichzeitig beide Parameter verwendet werden, sondern dass die slap-config-Konfiguration durch die slapd.conf-Konfiguration überschrieben wird.
  • Der slapd-Server sollte beim Start mit dem Parameter "-h [Protokolle]" auf die benötigten Protokolle eingeschränkt werden, beispielsweise "-h ldaps://".
  • Der slapd-Server ist durch den Parameter "-r [Verzeichnis]" auf ein Laufzeitverzeichnis einzuschränken (chroot-Mechanismus). Dieses Verzeichnis muss alle Konfigurationsdateien und Datenbanken beinhalten.
  • Vor einem geplanten Anhalten des slapd-Servers sollte geprüft werden, ob dieser noch Operationen durchführt oder Verbindungen zu Clients bestehen (siehe M 4.407 Protokollierung beim Einsatz von OpenLDAP ). Dies gilt insbesondere für Operationen, die bei einem Neustart nicht fortgeführt werden wie der Indizierung). Der slapd-Server verfügt über keinen stop-Befehl, zum Anhalten ist der zugehörige Prozess zu beenden, zum Beispiel durch "kill -INT 'cat /usr/local/var/slapd.pid'".
  • Änderungen an der Konfiguration müssen sorgfältig dokumentiert werden, so dass zu jeder Zeit nachvollzogen werden kann, wer aus welchem Grund welche Änderungen vorgenommen hat. Für die Änderungen an den Konfigurationsdateien wird empfohlen, ein Revisionskontrollprogramm (beispielsweise git, mercurial oder RCS) einzusetzen. So kann jederzeit ein früherer Stand der Konfiguration wiederhergestellt werden und es bleibt nachvollziehbar, wer welche Änderungen aus welchem Grund durchgeführt hat.
  • Nach jeder Änderung der Konfiguration muss zunächst mit dem Programm slaptest geprüft werden, ob die Syntax der Konfigurationsdatei korrekt ist. Syntaxfehler in der Konfigurationsdatei können sonst dazu führen, dass der slapd-Server nicht startet oder Sicherheitslücken entstehen.
  • Nach jeder Änderung von Zugriffsberechtigungen ist mit dem Programm slapacl zu prüfen, ob die gerade durchgeführte Änderung wirksam ist.
  • Die Administratoren müssen sich über aktuelle Sicherheitslücken in der eingesetzten Software frühzeitig informieren (siehe auch M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems ). Informationen über neu entdeckte Sicherheitslücken veröffentlichen die Entwickler von OpenLDAP im "Issue Tracking System" unter http://www.openldap.org/its.
  • Die in M 2.64 Kontrolle der Protokolldateien beschriebenen Maßnahmen müssen auch für OpenLDAP umgesetzt werden. Speicherort und Umfang der Protokolle hängen von M 4.407 Protokollierung beim Einsatz von OpenLDAP ab.
  • Zum sicheren Betrieb gehören auch regelmäßig durchzuführende Maßnahmen zur Notfallvorsorge und zur Datensicherung (siehe M 6.136 Erstellen eines Notfallplans für den Ausfall eines Samba-Servers und M 6.150 Datensicherung beim Einsatz von OpenLDAP ).

Prüffragen:

  • Wird der slapd-Server auf ein Laufzeitverzeichnis eingeschränkt?

  • Wird nach Änderungen der Konfiguration und der Zugriffsrechte von OpenLDAP geprüft, ob die Syntax korrekt ist und die neuen Zugriffsrechte wirksam sind?

  • Ist sichergestellt, dass die Administratoren zeitnah von neuen Sicherheitslücken bei OpenLDAP erfahren?

Stand: 13. EL Stand 2013