Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: G 3.53 Fehlerhafte Konfiguration des LDAP-Zugriffs auf Novell eDirectory - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

G 3.53 Fehlerhafte Konfiguration des LDAP-Zugriffs auf Novell eDirectory

Der LDAP-Zugriff auf den Verzeichnisdienst von eDirectory eignet sich vor allem für zwei Szenarien:

Prinzipiell gibt es aus Sicht des eDirectory drei Arten des Benutzerzugriffs über LDAP:

Dabei ist zu beachten, dass das [Public] Objekt im eDirectory standardmäßig stets das Browse-Recht über den Verzeichnisbaum besitzt, sofern dieses Recht nicht explizit entzogen wurde. Weiterhin ist zu berücksichtigen, dass ohne die Konfiguration geeigneter Authentisierungsmechanismen die Gefahr besteht, dass die Benutzerpasswörter im Klartext übertragen werden. Eine Verschlüsselung der Übertragung ist nur dann gegeben, wenn die Kommunikation zwischen Client und eDirectory-Server über SSL erfolgt.

Bei der SSL-Konfiguration ergeben sich ebenfalls Fehlermöglichkeiten, welche zu einer Herabsetzung des Sicherheitsniveaus oder der Performance führen können.

Weiter ist zu beachten, welche LDAP-Version die Clients unterstützen und welche Konfigurationsmöglichkeiten dort bestehen. Unter Umständen kann es dabei zu Missverständnissen kommen und die Sicherheit des Betriebs beeinträchtigt werden.

Für die Anbindung von Netzapplikationen per LDAP an den eDirectory-Verzeichnisdienst ergeben sich prinzipiell die gleichen Gefährdungen wie beim Zugriff von Clients, nämlich: