M 4.310 Einrichtung des LDAP-Zugriffs auf Verzeichnisdienste

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

LDAP (Lightweight Directory Access Protocol) ist ein Protokoll zum Zugriff auf Daten eines Verzeichnisdienstes. LDAP wurde ursprünglich als Alternative zu DAP (Directory Access Protocol) entwickelt, das im Rahmen des X.500-Directory-Standards definiert wurde. Das zugrunde liegende Datenmodell und die innerhalb des Protokolls möglichen Operationen wurden dabei im Wesentlichen vom X.500-Standard übernommen. Die aktuelle Version des Protokolls, LDAP Version 3, hat sich inzwischen zum dominierenden Standard für den Zugriff auf Verzeichnisdienste entwickelt.

Verzeichnisdienste verfügen nahezu alle über eine LDAP-Schnittstelle. Dies ermöglicht z. B. die folgenden Einsatzszenarien:

In beiden Fällen ist der LDAP-Zugriff entsprechend der zuvor definierten Sicherheitsrichtlinie (siehe M 2.405 Erstellung einer Sicherheitsrichtlinie für den Einsatz von Verzeichnisdiensten) zu konfigurieren.

Verzeichnisdienste erlauben prinzipiell eine anonyme Anmeldung von LDAP-Clients. In der Voreinstellung hat dabei der LDAP-Client die Zugriffsrechte, die für das Objekt im Verzeichnisdienst eingetragen sind. Es handelt sich um ein virtuelles Objekt, das lediglich der Rechtevergabe im Verzeichnisdienst dient. Jeder Zugriff auf Objekte im Verzeichnisbaum erfolgt automatisch mindestens mit den Rechten, die diesem "public" Objekt eingeräumt werden.

Sollen anonymen Benutzern auf einzelne Teilbereiche des Verzeichnisbaums weitergehende Zugriffe eingeräumt werden, so sollte dafür ein gesondertes Benutzerkonto angelegt werden. Dieses Benutzerkonto muss dann als so genannter Proxy-User für den anonymen LDAP-Zugriff eingetragen werden. Dieser anonyme Zugang setzt keine Authentisierung voraus und daher ist es nicht notwendig, diesem Konto ein Passwort zu vergeben. Es sollte darauf geachtet werden, dass dieses Benutzerkonto selbst auch kein Passwort einrichten kann, da der anonyme Zugang sonst durch einen einzelnen Client blockiert werden könnte. Des weiteren sollten die Zugriffsrechte für diesen Proxy-User hinreichend restriktiv vergeben werden bzw. wieder komplett zu entziehen, wenn er nicht mehr gebraucht wird.

Bereits bei der Planung des Einsatzes eines Verzeichnisdienstes muss entschieden werden, welche Daten über eine anonyme Anmeldung zugänglich sein dürfen (siehe auch M 2.405 Erstellung einer Sicherheitsrichtlinie für den Einsatz von Verzeichnisdiensten).

Entsprechend dieser Entscheidung müssen die Zugriffsrechte für den Proxy-User im Verzeichnisdienst hinreichend restriktiv konfiguriert werden.

Wird der Verzeichnisdienst als LDAP-Server im Internet eingesetzt, so sollten die entsprechenden Server durch ein Sicherheitsgateway geschützt werden. Dies sollte so konfiguriert werden, dass nur die zum Betrieb der LDAP-Server notwendigen Datenpakete zu den LDAP-Servern weitergeleitet werden. Meist wird es sich dabei um TCP-Pakete an die Ports 389 und 636 handeln, die standardisierten Port-Nummern für LDAP bzw. LDAP über SSL.

Für Daten, auf die nicht anonym zugegriffen werden darf, ist eine Authentisierung des jeweiligen LDAP-Clients notwendig. Der jeweilige Client authentisiert sich also als im Verzeichnis eingetragener Benutzer.

Um zu verhindern, dass Kennwörter im Klartext über das Internet übertragen werden, sollten die entsprechenden Einstellungen gesetzt sein. Mit dieser Einstellung sind dennoch anonyme LDAP-Verbindungen ebenso möglich wie eine Benutzeranmeldung mit LDAP über SSL.

Grundsätzlich wird empfohlen, SSL für die Kommunikation und Übertragung einzusetzen. Hierbei werden die Optionen ein- sowie zweiseitige Authentisierung unterstützt. Zweiseitige Authentisierung bedeutet, dass auch der Client in Besitz eines gültigen Zertifikats sein muss und dass auf Basis des zugehörigen privaten Schlüssels ein Sitzungsschlüssel (Session Key) generiert wird. Dies ist die sicherste Konfiguration. Alternativ kann die Client-Authentisierung jedoch auch über ein Passwort erfolgen. Durch die Verwendung einer verschlüsselten SSL-Verbindung zum Server ist die Vertraulichkeit des Passworts bei der Übertragung gewährleistet. In jedem Fall müssen die Benutzer das CA -Wurzelzertifikat in ihren LDAP-Client, z. B. einen Browser, importieren, damit die eingerichteten Vertrauensbeziehungen auch lokal nachvollzogen werden können (siehe M 5.66 Verwendung von TLS/SSL).

Wird kein SSL verwendet, so können die Benutzerpasswörter im Klartext über das Internet an den Verzeichnisdienst übertragen werden (siehe auch M 5.147 Absicherung der Kommunikation mit Verzeichnisdiensten). Dies sollte aber grundsätzlich vermieden werden.

Ein Verzeichnisdienst bietet die Möglichkeit, die innerhalb von LDAP verwendeten standardisierten Objektklassen auf andere im Verzeichnisdienst intern verwendete Objektklassen abzubilden. Diese Eigenschaft wird relevant, wenn LDAP-Clients bei der Suche standardisierte LDAP-Objektklassen verwenden, die entsprechenden Daten sich jedoch in Attributen von Verzeichnisdienst-Objektklassen mit anderen Namen befinden. Bei der erstmaligen Verwendung von LDAP-Clients oder bei Änderungen des Verzeichnisdienst-Schemas sollte daher überprüft werden, ob die Abbildung der LDAP-Objektklassen auf Verzeichnisdienst-Objektklassen schlüssig ist und die verwendeten LDAP-Applikationen damit korrekt funktionieren.

Prüffragen: