M 2.240 Planung des Einsatzes von Novell eDirectory im Extranet
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator, Leiter IT
eDirectory lässt sich auch als E-Business-Plattform im Internet betreiben. In diesem Zusammenhang fungiert das eDirectory oft als LDAP -Server, der Daten für seine Benutzer in seinem Verzeichnisdienst bereithält. Die Benutzeranbindung erfolgt dabei über das LDAP-Protokoll, welches auf TCP/IP aufsetzt.
Prinzipiell können sich Benutzer auf drei verschiedene Arten via LDAP mit eDirectory verbinden:
- als [Public] Objekt (Anonymous Bind),
- als Proxy User (Proxy User Anonymous Bind),
- als NDS User (NDS User Bind).
Hier ist bei der Planung speziell zu berücksichtigen, ob ein Anonymous Bind zugelassen wird oder nicht. Standardmäßig hat das [Public] Objekt uneingeschränktes Browse-Recht auf den eDirectory-Baum.
Die Planung sollte eine Aufteilung der Verzeichnisdaten in drei Kategorien vorsehen:
- Daten, auf die über anonymen Login zugegriffen werden kann,
- Daten, auf die nach erfolgreicher Authentisierung zugegriffen werden darf, sowie
- Daten, auf die von außen prinzipiell nicht zugegriffen werden darf.
Die Verzeichnisdaten sollten entsprechend dieser Aufteilung in getrennten Bereichen gespeichert werden. Dies erleichtert unter anderem die Durchführung von Datensicherungen und die Sicherstellung des korrekten Zugriffsschutzes. Ein eDirectory-Server mit direkter Internet-Anbindung sollte möglichst keine Daten halten, auf die von außen nicht zugegriffen werden braucht.
Weiterhin ist bei Bedarf der Einsatz von SSL für den LDAP-Zugriff auf das eDirectory zu planen. Es ist dann zu entscheiden, ob die Authentisierung über Passwörter oder Zertifikate erfolgen soll. Wird SSL nicht eingesetzt, so muss entschieden werden, ob Passwörter im Klartext übertragen werden können oder ob die Option allowing cleartext passwords ausgeschaltet wird.
Da der eDirectory-Server in diesem Einsatzszenario über eine direkte Internet-Anbindung verfügt, ist der Einsatz einer Firewall zu planen. Eine geeignete Vorgehensweise hierzu findet sich in Baustein B 3.301 Sicherheitsgateway (Firewall).
Ergänzende Kontrollfragen:
- Welche Daten sollen von außen anonym erreichbar sein?
- Welche Daten sollen nach erfolgter Authentisierung erreichbar sein?
- Ist der Einsatz von SSL erforderlich, um die Vertraulichkeit bzw. Integrität der übertragenen Daten sicherzustellen?