Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.104 LDAP Services for NDS - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.104 LDAP Services for NDS

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Das Lightweight Directory Access Protocol (LDAP) hat sich zum De-facto-Standard für den Zugriff auf X.500-Standard basierende Verzeichnis-informationen über das Internet/Intranet entwickelt. Die Novell Directory Services (NDS) gehören zu den LDAP Directories, deren Hauptaufgabe darin liegt, eine Vielzahl von Suchoperationen gleichzeitig bearbeiten zu können. Über die NDS ist es dem Administrator möglich, alle Firmenmitarbeiter und alle im Netz verfügbaren Ressourcen als Objekte in einem hierarchischen Verzeichnisbaum anzulegen und zu verwalten. So können z. B. den Benutzern Zugriffsrechte auf Unix-, Microsoft Windows NT-, Novell Netware Server oder anderen Ressourcen wie der Zugriff auf das Mailing-System und Druckern zugewiesen werden. Bisher musste die Information in applikationsspezifischen Listen gepflegt und über die unterschiedlichen Systemgrenzen hinaus konsolidiert werden. Werden verzeichnisfähige Applikationen eingesetzt, so entsteht ein "Single Point of Administration", d. h. die Pflege der Gesamtinformation geschieht von einer Stelle aus.

Alle auf X.500 basierenden Verzeichnisdienste verwenden ein Directory Access Protocol (DAP), um die Verzeichnisinformationen zu synchronisieren und eine Kommunikationsschnittstelle zwischen den unterschiedlichen Netzkomponenten bereitzustellen.

Bei LDAP handelt es sich um ein Directory Access Protocol, dessen Hauptaufgabe die schnelle Informationsextraktion, gestützt auf einen geringeren Protokolloverhead, ist. Es wird nicht der gesamte OSI-Protokollstack implementiert, sondern LDAP setzt direkt auf dem TCP/IP Protokoll auf. Als Folge daraus sind die LDAP Clients weit weniger komplex als die DAP Clients. Da sich die Implementierung von LDAP auf den Internet-Standard RFC 1777 abstützt, sind die Entwickler in der Lage, plattformunabhängige Application Program Interfaces (APIs) zu verwenden. Es muss daher keine Rücksicht auf die herstellerspezifische Notation genommen werden, da der LDAP Server das Umsetzen einer LDAP Anfrage in das erforderliche Format vornimmt.

In den LDAP Services for NDS für Netware 4.11 ist LDAP Version 2 implementiert worden, die sich mit der Client-to-Directory Kommunikation beschäftigt. Die Version 3 von LDAP beinhaltet Spezifikationen zur Directory-to-Directory Kommunikation, wie z. B. die Replikation und die Synchronisation von Verzeichnisinformationen im Netz. Der Standard (RFC 2551) ist aber bisher noch nicht endgültig verabschiedet worden. Eine Implementierung von LDAP Version 3 kommt unter Netware 5 zum Einsatz.

Die LDAP Services for NDS übernehmen eine Mittlerfunktion zwischen der NDS, die natürlich installiert sein muss, und dem LDAP Client. Der Client stellt eine LDAP Anfrage an den Server, auf dem die LDAP Services laufen. Diese Anfrage wird entgegengenommen und von den LDAP Services for

NDS in eine NDS Anfrage umgewandelt. Die NDS wertet die Anfrage aus und liefert die angeforderten Informationen an die LDAP Services for NDS zurück. Diese wiederum generieren aus der NDS Antwort eine LDAP Antwort und leiten diese an den Client weiter.

Novell selbst bietet keinen LDAP Client an. Die gebräuchlichsten Clients sind derzeit Browser, wie z. B. der Netscape Communicator, die eine entsprechende LDAP Schnittstelle haben. Es gibt aber auch andere, frei verfügbare LDAP Clients im Internet. Dabei sind jedoch vor dem Einsatz dieser Clients einige Dinge zu beachten. So ist zum Beispiel der Netscape Communicator nicht in der Lage, Zugriffe auf LDAP Server zu gewähren, die einen Benutzernamen und ein Passwort erfordern. Daher erkennen die LDAP Services for NDS einen Benutzer, der diesen Browser als Client verwendet, als Anonymous User und machen ihn standardmäßig zum Trustee von [Public], was typischerweise nur ein Browse-Recht auf die NDS beinhaltet. Wenn zusätzliche Rechte benötigt werden, so ist ein Proxy User einzurichten, der über die entsprechenden NDS Rechte verfügt. Zusätzlich muss im LDAP Group Objekt noch das Proxy User Feature freigegeben werden.

Da die LDAP Services for NDS vollständig in die NDS integriert sind, muss bei der Installation eine Erweiterung des NDS Schemas vorgenommen werden. Dies kann nur über einen Account mit Supervisor Berechtigung auf das [Root] Objekt erfolgen. Bei der Installation des ersten LDAP Servers in einem NDS Baum wird das Datenbankschema der NDS erweitert, sodass die zwei neuen NDS Objekte LDAP Server und LDAP Group zur Verfügung stehen. Über diese beiden Objekte werden die LDAP Services for NDS konfiguriert. Werden weitere LDAP Server in diesem NDS Baum installiert, so ist es nicht notwendig, die Schemaerweiterung noch einmal zu installieren, da die NDS bereits das aktuelle Datenbankschema besitzt.

Die Konfiguration der LDAP Services for NDS wird über die Eigenschaften ("Properties") der beiden Objekte LDAP Server und LDAP Group festgelegt. Die Einstellung ist anhand der erarbeiteten Sicherheitsstrategie vorzunehmen. Im folgenden wird auf einige Properties eingegangen, die im Hinblick auf die Sicherheit des Systems besonders relevant sind.

Log file size limit (LDAP Server Objekt)

Mit dieser Property kann die maximale Größe der in der Property Log filename angegebenen Log-Datei eingerichtet werden. Erreicht die Log-Datei die festgelegte Dateigröße, so werden die Informationen der Log filename Datei in die unter Backup log file angegebene Datei kopiert. Alle neuen Log-Daten werden in die Log filename Datei geschrieben.

Default: 1.000.000

Minimum: 0 (unbegrenzte Dateigröße)

Maximum: 4.294.967.295

Wird der Wert auf Null gesetzt, so besteht keine Größenlimitation für die Log-Datei. In diesem Fall sollte man die Datei nicht auf dem Volume SYS ablegen, da die Datei so stark anwachsen kann, dass der verfügbare Speicherplatz auf dem Volume komplett belegt wird. Als Folge können Inkonsistenzen innerhalb der NDS auftreten, und die Verfügbarkeit des Servers wird reduziert.

Im LDAP Group Objekt sind die folgenden Properties besonders sicherheitsrelevant:

Suffix

Über das Feld Suffix wird der Unterbaum definiert, der den LDAP Clients zur Verfügung gestellt wird. Ist dieses Feld leer, so wird den Clients Zugriff auf den gesamten NDS Baum gewährt, also vom [Root] Objekt aus. Stellt ein Client eine Anfrage an den Server, die sich auf ein Objekt außerhalb des definierten Unterbaums bezieht, so wird ein Fehler zurückgegeben, außer das Feld Referral ist mit einem Wert belegt worden.

Referral

In dieses Textfeld kann ein Uniform Resource Locator (URL) eines alternativen LDAP Servers eingetragen werden. Stellt z. B. ein Client eine Anfrage an den Server, die dieser nicht beantworten kann, da das Suffix gesetzt wurde, so wird diese URL an den LDAP Client zurückgeliefert. Der Client ist nun in der Lage, seine Anfrage an diesen Server weiterzuleiten.

Enable NDS User Bind

Ist diese Checkbox aktiviert, so muss sich ein Benutzer bei einem Bind Request mit seinem NDS Passwort authentisieren. Die Passwörter werden jedoch zwischen dem LDAP Client und dem LDAP Server nicht verschlüsselt, d. h. sie werden im Klartext über das Netz übertragen. Durch einen geeigneten Netzmonitor (Lanalyzer) ist deshalb ein Angreifer in der Lage, auf diese Weise Passwörter auszuspionieren. Aus Sicherheitsgründen sollte dieser Wert nicht gesetzt werden, außer man verwendet Accounts, die speziell für LDAP Zugriffe eingerichtet worden sind und ansonsten keine weiteren Rechte in der NDS und auf das Netware Dateisystem haben.

Proxy Username

Beim Proxy User handelt es sich um einen NDS Account, der kein Passwort und auch keine Passwortänderung benötigt. Wird ein Anonymous Bind (Verbindungsaufbau ohne Benutzername und Passwort) angefordert, so authentisiert der LDAP Server diese Anforderung mit dem Proxy Username in der NDS. Typischerweise sind diese Proxy User in ihren Rechten stark eingeschränkt. Ist aber kein Proxy Username definiert worden, so werden diese Anonymous Binds als Benutzer [Public] validiert und erhalten daher auch die entsprechenden Rechte.

Über die Access Control Page erhalten die LDAP Services for NDS ein zusätzliches Sicherheitsfeature, die Access Control List (ACL). Die LDAP ACL definiert die Zugriffsrechte auf die LDAP Objekt Properties für Benutzer und Gruppen. Der LDAP Server benutzt die ACL um festzustellen, ob eine Benutzeranfrage an die NDS weitergereicht oder zurückgewiesen wird. Hat ein Benutzer die entsprechenden Rechte, so wird die Anfrage an die NDS weitergereicht. Die NDS ihrerseits prüft, basierend auf den NDS Rechten, ob die Anfrage bearbeitet oder zurückgewiesen wird.

Über das LDAP ACL Dialogfenster können den Benutzern Rechte zugewiesen werden. Dabei sind folgende Abstufungen möglich:

Neben diesen fünf Sicherheitsstufen im Zugriff (Access Level) lässt sich der Zugriff noch weiter einschränken. Z. B. kann durch das Feld IP Address erzwungen werden, dass eine Anfrage nur von einer oder einer Gruppe von IP-Adressen akzeptiert wird.