Sichere Benutzer- und Dienste-Authentifikation

LDAP-Anmeldungen schützen

LDAP wird auch dafür genutzt, um sich bei unterschiedlichen Diensten mit denselben Credentials anzumelden. Der Security-Tipp in diesem Monat zeigt Ihnen Szenarien auf, in denen das nicht gewollt ist und stellt Ihnen Möglichkeiten vor, wie Sie solche Anmeldungen in Ihrem LDAP-Setup absichern.
Die Ransomware-Angriffe der vergangenen Monate haben vielen Administratoren die Bedeutung von funktionierenden Backupkonzepten schmerzlich vor Augen geführt. ... (mehr)

Das Lightweight Directory Access Protocol (LDAP) ermöglicht die Nutzung eines einzigen Benutzerkontos über mehrere Dienste hinweg. Auch wenn landläufig vielfach der Begriff Single Sign-on (SSO) in dem Zusammenhang verwendet wird, ist diese Verbindung nicht immer zwingend. So lässt sich LDAP zwar auch als Backend für SSO verwenden, setzt das aber nicht selbst um. LDAP bietet darüber hinaus auch noch einige zusätzliche Features: Sie können es etwa als Adressbuch für Ihre Mitarbeiter verwenden und dort Telefonnummern, Adressen oder auch Zertifikate zur Mailverschlüsselung hinterlegen.

LDAP erleichtert die Administration von Benutzern und reduziert die Anzahl an Passwörtern, die sich ein Benutzer merken muss. Mit einem LDAP-Account kann sich der Benutzer dann bei allen Diensten anmelden, die gegen das LDAP-Verzeichnis authentifizieren. Dabei benötigt der Dienst (theoretisch) nicht einmal das Passwort des Benutzers, sondern muss nur dem LDAP entsprechend vertrauen. Dafür ist es nach erfolgreicher Identifikation möglich, weitere Eigenschaften des Benutzers aus dem Verzeichnis zu lesen und für die angebotene Anwendung zu nutzen. So lassen sich direkt auch E-Mail-Adressen nutzen oder die Zugehörigkeit zu bestimmten Organisationseinheiten für die Zugangskontrolle überprüfen.

In vielen Einrichtungen werden immer mehr Dienste an das LDAP-Verzeichnis angebunden. Das erhöht auf der einen Seite natürlich den Komfort für den Benutzer, auf der anderen Seite verringert es aber auch die Sicherheit der mit diesem Konto (respektive dem Benutzernamen und dem zugehörigen Passwort) gesicherten Zugänge und Informationen. De facto übermittelt der Benutzer nämlich seine Authentifikation (im Gegensatz zu SSO) direkt an den Dienst. Dieser fragt dann beim LDAP-Server nach der Bestätigung, ob die eingegebenen Daten auch korrekt sind, und erlaubt bei positiver Antwort den Zugang.

In vielen Fällen findet auch bei einer LDAP-Authentifikation keine

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019