M 2.407 Planung der Administration von Verzeichnisdiensten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Die Administration eines Verzeichnisdienstes erfordert eine sorgfältige Planung. Dabei sollte auf eine ausreichende Trennung der administrativen Aufgaben und der zugehörigen Administratorkonten geachtet werden. Grundsätzlich sollte die Verwaltung des Verzeichnisdienstes selbst von der Verwaltung der Daten im Verzeichnis getrennt werden, indem beispielsweise die administrativen Rollen Diensteverwaltung und Datenverwaltung mit unterschiedlichen Verantwortungsbereichen geschaffen werden.

Dienstadministratoren sollten sich um die Bereitstellung des gesamten Verzeichnisdienstes, verzeichnisweite Einstellungen, Installation und Wartung der Software sowie um die Installation des Betriebssystems auf den Verzeichnisdienst-Servern kümmern.

Datenadministratoren sollten hingegen für die Verwaltung der Daten zuständig sein, die im Verzeichnisdienst und damit auf den Servern des Verzeichnisdienstes gespeichert sind. Sie sollten den Verzeichnisdienst nicht konfigurieren und bereitstellen können. Datenadministratoren sollten außerdem möglichst nicht für die Gesamtheit aller Daten des Verzeichnisdienstes zuständig sein. Typischerweise verwalten sie eine Teilmenge der Objekte des Verzeichnisdienstes. Mit Hilfe von Einstellungen in den Access Control Lists für die im Verzeichnisdienst gespeicherten Objekte sollten zu diesem Zweck die Verwaltungsmöglichkeiten eines bestimmten Administratorkontos auf spezielle Bereiche des Verzeichnisdienstes beschränkt werden.

Einige Informationen, die zur Verwaltung oder Konfiguration des Verzeichnisdienstes erforderlich sind, werden von Objekten im Verzeichnisdienst selbst gesteuert. Obwohl diese Informationen, wie z. B. Vertrauensstellungen, Schemata oder Regeln zur Replikation, im Verzeichnisdienst gespeichert sind, sollten sie von den Dienstadministratoren verwaltet werden. Daher können Dienstadministratoren auch als Datenadministratoren fungieren, nicht jedoch umgekehrt.

Darüber hinaus kann auch ein weitergehendes administratives Modell für den Verzeichnisdienst geplant werden. Die Einrichtung einer Rollen-basierten Administration und die Möglichkeit der Delegation von Administrationsaufgaben beeinflussen die Sicherheit des Verzeichnisdienstes und verdienen daher eine besondere Beachtung. Bei sinnvoller, übersichtlicher und konsistenter Gestaltung der Sicherheitsadministration kann gleichzeitig auch eine erhöhte Transparenz und Effizienz geschaffen werden.

Im Rahmen der Planung der Administration von Verzeichnisdiensten müssen für jede Institution folgende Fragen beantwortet werden:

Folgende sicherheitsrelevante Aspekte sollten bei der Planung der Verzeichnisdienst-Administration berücksichtigt werden:

Prüffragen: