OpenLDAP-Tutorial III: Konzepte für Authentifizierung, Zugriffskontrolle und Verfügbarkeit
Dicht gemacht
Verzeichnisdienste sind ein bevorzugtes Ziel für Angriffe über das Netz. Hat ein Angreifer erst einmal diese zentrale Stelle für Identitäts- und Berechtigungsdaten unter seiner Kontrolle, fallen ihm schnell weitere Komponenten der IT-Infrastruktur zum Opfer. Zum Schutz beherrscht der freie Verzeichnisdienst OpenLDAP alle zeitgemäßen Sicherheitstechniken.
Die vorangegangenen Teile dieses iX-Tutorials haben sich mit dem LDAP-Datenmodell, dem Aufbau des DIT (Directory Information Tree) und der Konfiguration des Daemons slapd beschäftigt, die heutzutage dynamisch mit LDAP-Operationen erfolgt. Die Sicherheit des Verzeichnisdienstes blieb bisher völlig außer Acht – das soll der abschließende Teil dieser Reihe ändern.
Wer den zweiten Teil des Tutorials nachvollzogen hat, bei dem läuft der OpenLDAP-Daemon slapd aus dem LTB-Projekt auf einem einzelnen CentOS-Serversystem und verfügt über eine Reihe von Backend-Datenbanken (siehe [1, 2] und „Onlinequellen“, [a, b]). Eine für den DIT mit den Nutzdaten unter o=tutorial. Darin befinden sich beispielhaft Objekte für Personen, LDAP-Administratoren und -Gruppen. Eine weitere Datenbank für den DIT cn=accesslog dient dem Speichern der verschiedenen LDAP-Zugriffe auf die Nutzdaten über das accesslog-Overlay. Eine dritte wiederum trägt die Serverkonfiguration – bei OpenLDAP ebenfalls in LDAP-Form – im cn=config-DIT. Anfragen nimmt slapd ausschließlich auf localhost entgegen, wo er auf dem LDAP-Standardport 389 hört.