M 4.307 Sichere Konfiguration von Verzeichnisdiensten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Nachdem ein Verzeichnisdienst vollständig installiert ist (siehe M 4.308 Sichere Installation von Verzeichnisdiensten ), sollte er sich in einem sicheren Zustand befinden, so dass in der anschließenden Konfigurationsphase nur berechtigte Administratoren auf den Verzeichnisdienst zugreifen können.

Die nachfolgende Konfiguration des Verzeichnisdienstes kann je nach Einsatzszenario um eine Vielzahl von Funktionen erweitert werden, die über einen reinen Verzeichnisdienst hinausgehen. Dabei ist die Sicherheit der verschiedenen Funktion durch geeignete Parameter bei der Konfiguration zu gewährleisten.

Typische Konfigurationsaufgaben bei Verzeichnisdiensten sind:

Dies alles betrifft originär die Verzeichnisdienst-Software. Es darf jedoch nicht vergessen werden, dass auch das zugrunde liegende Betriebssystem sicher konfiguriert werden muss, insbesondere was den Serverzugriff, die Netzanbindung und das Dateisystem betrifft.

Die Konfiguration von Verzeichnisdiensten kann um eine Vielzahl weiterer Module erweitert werden, deren Funktionen über einen reinen Verzeichnisdienst hinausgehen. Dazu gehören:

Je nach Einsatzszenario und dem vom Verzeichnisdienst-Server angebotenen Funktionsumfang muss überprüft werden, welche Zusatzmodule für den Betrieb des Verzeichnisdienstes benötigt werden und genutzt werden sollen. Nicht genutzte Module sollten nicht installiert werden, da jedes installierte Modul bei Fehlkonfiguration Sicherheitsprobleme verursachen kann.

Für jedes aktivierte Modul muss eine entsprechende Sicherheitsplanung durchgeführt werden. Anschließend ist diese durch geeignete Konfigurationsparameter umzusetzen (siehe auch M 2.405 Erstellung einer Sicherheitsrichtlinie für den Einsatz von Verzeichnisdiensten ).

Die Sicherheit eines Verzeichnisdienst-Systems hängt außerdem von der Sicherheit der zum Zugriff benutzten Clientsoftware ab. Daher müssen für die sichere Konfiguration eines Verzeichnisdienst-Systems auch die client-seitigen Rechner und Programme einbezogen werden. Besondere Schutzmaßnahmen sind für die administrativen Zugänge zum Verzeichnisdienst zu realisieren.

Die folgenden, generischen Hinweise sollten in jedem Fall beachtet werden:

Es ist auch möglich, eigene Clientsoftware zu erstellen, die mit dem Verzeichnisdienst über die standardisierte LDAP-Schnittstelle (oder andere dafür vorgesehene Schnittstellen) kommuniziert.

Ein Verzeichnisdienst-System besteht in der Regel nicht nur aus einem Verzeichnisdienst-Server, sondern aus einem ganzen Serververbund (siehe auch M 2.403 Planung des Einsatzes von Verzeichnisdiensten ). Die Verzeichnisdatenbank kann dabei in Form von einzelnen Partitionen auf verschiedene Server verteilt werden. Weiterhin können die einzelnen Server die Verzeichnisdatenbanken untereinander replizieren. Dadurch, dass mehrere Kopien einer Datenbank-Partition auf unterschiedlichen Servern vorliegen, kann eine Lastverteilung erreicht werden. Damit die Aktualität der Verzeichniskopien sichergestellt ist, müssen Veränderungen an den Daten zwischen den Servern ausgetauscht werden. Es muss daher ein Replikationskonzept erstellt werden. Unter anderem sind dabei folgende Aspekte zu berücksichtigen:

Da ein System in der Regel ständig Veränderungen durch den laufenden Betrieb unterworfen ist, muss auch die Sicherheit permanent überprüft und neu konfiguriert werden. Hinweise dazu finden sich in M 4.311 Sicherer Betrieb von Verzeichnisdiensten .

Prüffragen: