M 2.240 Planung des Einsatzes von Novell eDirectory im Extranet

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

eDirectory lässt sich auch als E-Business-Plattform im Internet betreiben. In diesem Zusammenhang fungiert das eDirectory oft als LDAP -Server, der Daten für seine Benutzer in seinem Verzeichnisdienst bereithält. Die Benutzeranbindung erfolgt dabei über das LDAP-Protokoll, welches auf TCP/IP aufsetzt.

Prinzipiell können sich Benutzer auf drei verschiedene Arten via LDAP mit eDirectory verbinden:

Hier ist bei der Planung speziell zu berücksichtigen, ob ein Anonymous Bind zugelassen wird oder nicht. Standardmäßig hat das [Public] Objekt uneingeschränktes Browse-Recht auf den eDirectory-Baum.

Die Planung sollte eine Aufteilung der Verzeichnisdaten in drei Kategorien vorsehen:

Die Verzeichnisdaten sollten entsprechend dieser Aufteilung in getrennten Bereichen gespeichert werden. Dies erleichtert unter anderem die Durchführung von Datensicherungen und die Sicherstellung des korrekten Zugriffsschutzes. Ein eDirectory-Server mit direkter Internet-Anbindung sollte möglichst keine Daten halten, auf die von außen nicht zugegriffen werden braucht.

Weiterhin ist bei Bedarf der Einsatz von SSL für den LDAP-Zugriff auf das eDirectory zu planen. Es ist dann zu entscheiden, ob die Authentisierung über Passwörter oder Zertifikate erfolgen soll. Wird SSL nicht eingesetzt, so muss entschieden werden, ob Passwörter im Klartext übertragen werden können oder ob die Option allowing cleartext passwords ausgeschaltet wird.

Da der eDirectory-Server in diesem Einsatzszenario über eine direkte Internet-Anbindung verfügt, ist der Einsatz einer Firewall zu planen. Eine geeignete Vorgehensweise hierzu findet sich in Baustein B 3.301 Sicherheitsgateway (Firewall) .

Prüffragen: