G 3.89 Fehlerhafte Konfiguration des LDAP-Zugriffs auf Verzeichnisdienste
LDAP eignet sich vor allem dann als Protokoll für Zugriffe auf Verzeichnisdienste, wenn Benutzerzugriffe auf den Verzeichnisdienst auf den Verzeichnisdienst durch weitere Applikationen, wie z. B. Internet- oder Intranet-Anwendungen, erfolgen. Ist der LDAP-Zugriff falsch konfiguriert, könnte es jedoch zu folgenden Problemen kommen:
-
Falsche Vergabe von Zugriffsrechten und unautorisierte Zugriffsmöglichkeiten auf den Verzeichnisdienst
Werden beispielsweise LDAP-Einstellungen vorgenommen, die auf Erweiterungen eines bestimmten Verzeichnisdienstes, beispielsweise Active Directory oder Novell eDirectory, basieren, so kann es zu Problemen kommen, wenn Verzeichnisdienste von unterschiedlichen Herstellern eingesetzt werden. Hierdurch kann es unter anderem dazu kommen, dass Benutzer plötzlich auf Bereiche zugegriffen können, für die sie eigentlich keine Rechte haben sollten. Darüber hinaus kann es passieren, dass einem Benutzer aufgrund der eventuell inkompatiblen LDAP-Syntax falsche Rechte zugewiesen werden. -
Übermittlung von Benutzerpasswörtern im Klartext und Ausspähen von unverschlüsselten Informationen
Da LDAP ein rein textbasiertes Protokoll ist, werden alle Informationen, auch Benutzerpasswörter, im Klartext übertragen und könnten dabei ausgespäht werden. Deswegen sollte LDAP zusätzlich abgesichert werden, z. B. durch eine SSL-Verschlüsselung. Jedoch ergeben sich bei der SSL-Konfiguration ebenfalls Fehlermöglichkeiten, die zu einer Herabsetzung des Sicherheitsniveaus führen können. -
Fehler beim LDAP-Zugriff, insbesondere für netzbasierte Anwendungen
Hierbei können Anmeldeversuche sporadisch fehlschlagen, obwohl die richtigen Authentisierungsinformationen verwendet werden. Dies kann beispielsweise durch unterschiedliche LDAP-Konfigurationen auf den einzelnen Verzeichnisdienstkomponenten entstehen. -
Beeinträchtigung der Verfügbarkeit des Verzeichnisdienstes durch die Verschlüsselungseinstellungen von LDAP
Durch Fehlkonfiguration, falsches Vorgehen und falsche Aktivierungsreihenfolge beim Vornehmen der Signierungs- und Verschlüsselungseinstellungen von LDAP kann die Verfügbarkeit für weite Teile des Verzeichnisdienstes stark beeinträchtigt werden. Bei größeren Umgebungen kann das Zurückversetzen des Verzeichnisdienstes in einen funktionstüchtigen Zustand sehr hohen Aufwand verursachen, da in einer solchen Situation viele netz-basierte Verwaltungs- und Steuerungsfunktionen gestört sind. Die Auswirkungen dieser inkonsistente Einstellungen machen sich unter Umständen erst nach einer gewissen Zeit bemerkbar machen. -
unzureichende Produktivität des Gesamtsystems durch unterschiedliche LDAP-Versionen
Wenn die Clients unterschiedliche LDAP-Versionen unterstützen, bestehen unter Umständen abweichende Konfigurationsmöglichkeiten. Wenn beispielsweise Clients eine ältere LDAP-Version verwenden, kann es sein, dass neue Befehlssätze nicht unterstützt werden oder noch Schwachstellen in den Funktionen vorhanden sind usw. Auch die Unterstützung der verschiedenen LDAP-Versionen durch die Clients und die damit zusammenhängenden Konfigurationsmöglichkeiten können zu Fehlern führen, die die Sicherheit des Betriebes beeinträchtigen.