Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.155 Sichere Konfiguration von Novell eDirectory - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.155 Sichere Konfiguration von Novell eDirectory

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Die Konfiguration von eDirectory kann um eine Vielzahl weiterer Module erweitert werden, deren Funktionen über einen reinen Verzeichnisdienst hinausgehen. Dazu gehören:

Daraus ergibt sich ein Bündel an Konfigurationsaufgaben, das noch durch folgende Themen ergänzt wird:

Dies alles betrifft originär die eDirectory-Software. Es darf jedoch nicht vergessen werden, dass auch das zugrunde liegende Betriebssystem sicher konfiguriert werden muss, insbesondere was den Serverzugriff, die Netzanbindung und das Dateisystem betrifft.

Je nach Einsatzszenario und dem vom eDirectory-Server angebotenen Funktionsumfang muss überprüft werden, welche Zusatzmodule für den Betrieb von eDirectory benötigt werden und genutzt werden sollen. Nicht genutzte Module sollten nicht installiert werden, da jedes installierte Modul bei Fehlkonfiguration Sicherheitsprobleme verursachen kann.

Für jedes aktivierte Modul muss eine entsprechende Sicherheitsplanung durchgeführt werden. Anschließend ist diese durch geeignete Konfigurationsparameter umzusetzen (siehe auch M 2.238 Festlegung einer Sicherheitsrichtlinie für Novell eDirectory).

eDirectory bietet weitgehende Möglichkeiten zur Konfiguration des Benutzerzugangs für die einzelnen im Verzeichnis angelegten Benutzerkonten. Neben der individuellen Konfiguration einzelner Benutzerkonten können auch Templates verwendet werden, um eine Vielzahl von Benutzerkonten identisch zu konfigurieren. Die vorhandenen Einstellungsmöglichkeiten umfassen u. a.

Eigenschaften von Alfons

Abbildung: Eigenschaften von Alfons

Außerdem gibt es die Möglichkeit, Benutzerkonten direkt zu deaktivieren oder sie nach Ablauf einer bestimmten Zeit automatisch deaktivieren zu lassen.

Die Sicherheit eines eDirectory-Systems hängt außerdem von der Sicherheit der zum Zugriff benutzten Clientsoftware ab. Daher müssen für die sichere Konfiguration eines eDirectory-Systems auch die Client-seitigen Rechner und Programme einbezogen werden. Empfehlungen hierzu sind gesondert in Maßnahme M 4.156 Sichere Konfiguration der Novell eDirectory Clientsoftware zusammengefasst. Besondere Schutzmaßnahmen sind für die administrativen Zugänge zum eDirectory zu realisieren.

Ein eDirectory-System besteht in der Regel nicht nur aus einem eDirectory-Server, sondern aus einem ganzen Serververbund (siehe auch M 2.236 Planung des Einsatzes von Novell eDirectory). Die Verzeichnisdatenbank kann dabei in Form von einzelnen Partitionen auf verschiedene Server verteilt werden. Weiterhin können die einzelnen Server die Verzeichnisdatenbanken untereinander replizieren. Dadurch, dass mehrere Kopien einer Datenbank-Partition auf unterschiedlichen Servern vorliegen, kann eine Lastverteilung erreicht werden. Damit die Aktualität der Verzeichniskopien sichergestellt ist, müssen Veränderungen an den Daten zwischen den Servern ausgetauscht werden. Es muss daher ein Replikationskonzept erstellt werden. Unter anderem sind dabei folgende Aspekte zu berücksichtigen:

Da ein System in der Regel ständig Veränderungen durch den laufenden Betrieb unterworfen ist, muss auch die Sicherheit permanent überprüft und neu konfiguriert werden. Hinweise dazu finden sich in M 4.159 Sicherer Betrieb von Novell eDirectory.

Ergänzende Kontrollfragen: