M 3.86 Schulung der Administratoren von OpenLDAP
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator, Leiter IT
Um OpenLDAP sicher einzurichten und zu betreiben, werden detaillierte Kenntnisse über OpenLDAP und seine grundlegenden Konzepte benötigt. Eine Schulung der Administratoren zu OpenLDAP und den zugehörigen Sicherheitsthemen ist daher unerlässlich.
Schulungsinhalte
Wie tief sich ein Administrator mit den einzelnen Punkten beschäftigen muss, hängt von seinem Tätigkeitsfeld ab. Allgemeine Inhalte zu Verzeichnisdiensten werden in M 3.62 Schulung zur Administration von Verzeichnisdiensten aufgeführt. Schulungsinhalte sollten für OpenLDAP in jedem Fall die folgenden Stichpunkte umfassen und diese erläutern.
Grundlagen
- Überblick über den Aufbau von OpenLDAP, Verständnis von Backends und Overlays
- Planung, Einrichtung, Konfiguration ("slapd.conf" und "slapd-config")
- Grundlegende Kenntnisse, die zur Installation der Anwendung aus dem Quelltext befähigen
- Verständnis im Umgang mit Informationsquellen zu Open Source Software
- Kenntnis des LDAP Data Interchange Formats (LDIF)
- Objektklassen und operationelle Attribute
- Kenntnis der Werkzeuge von OpenLDAP und des systematischen Unterschieds zwischen ldap*- und slap*-Werkzeugen
Schema-Verwaltung
- Problematik und Auswirkungen von Schema-Veränderungen
- Attributseinschränkungen durch Overlays innerhalb der Schemata
- Unterscheidung von normalen und operationellen Attributen
Replikation
- Verwendete Mechanismen zur Replikation bei OpenLDAP ("refreshOnly" und "refreshAndPersist")
- Suchfilter und operationelle Attribute
- Ausblick auf die Delta-Replikation
- Ausblick auf Multi-Master- und Mirror-Mode-Betrieb im Zusammenhang mit Replikationskonflikten
Datensicherung
- Problematik des Erstellens einer Datensicherung von OpenLDAP
- Sicherung der Konfiguration für beide Konfigurationsmodi
- Wiedereinspielen von Datensicherungen mittels "slapadd"
Vergabe von Zugriffsrechten
- Vergabe von Zugriffsrechten auf Verzeichnisdienstobjekte
- Zusammenwirken von globalen und datenbankspezifischen ACLs
- Mögliche Zugriffsrechte
Authentisierung
- Hash-Algorithmen
- Kerberos
- SASL
- SSL/TLS-Zertifikate
Prüffragen:
-
Wurden alle Administratoren zu OpenLDAP und den zugehörigen Sicherheitsthemen geschult?