Ziel / Zweck
Ein Verzeichnisdienst stellt in einem Datennetz Informationen über beliebige Objekte in einer definierten Art zur Verfügung. In einem Objekt können zugehörige Attribute gespeichert werden, zum Beispiel können zu einer Benutzerkennung der Name und Vorname des Benutzers und die Personalnummer abgelegt werden. Der Verzeichnisdienst und seine Daten werden in der Regel von zentraler Stelle aus verwaltet und sind auf Lesezugriffe hin optimiert, da Daten aus dem Verzeichnisdienst typischerweise abgerufen werden. Schreibzugriffe, bei denen Einträge erstellt, geändert oder gelöscht werden, sind seltener notwendig.
Die Firma Microsoft entwickelte einen eigenen Verzeichnisdienst "Active-Directory (AD)". Ausgehend von den Active-Directory-Funktionen des Betriebssystems Microsoft Windows 2000 Server wurden dem Active-Directory-Dienst mit jedem Release der Windows-Server-Familie weitere Schlüsselfunktionen hinzugefügt. Als ein objektbasierter Verzeichnisdienst ermöglicht Active-Directory die Verwaltung von Objekten und deren Beziehung untereinander, was die eigentliche Netzumgebung auszeichnet. Das AD stellt zentrale Steuerungs- und Kontrollmöglichkeiten des jeweiligen Netzes bereit. Ohne einen Verzeichnisdienst könnte nicht mehr gewährleistet werden, dass lokal vorzunehmende Einstellungen, wie z. B. die Vorgaben aus Sicherheitsrichtlinien, aufgrund des hohen Aufwandes zuverlässig erledigt werden. Verwaltungsaufgaben innerhalb des Netzes wie z. B. Passwortänderungen, Kontenerstellung und Zugriffsrechte können effizienter durchgeführt werden, wenn ein Verzeichnisdienst eingesetzt wird.
OpenLDAP ist ein frei verfügbarer Verzeichnisdienst, der in einem Datennetz Informationen über beliebige Objekte, beispielsweise Benutzer oder IT-Systeme, in einer definierten Art zur Verfügung stellt. Die Informationen können einfache Attribute wie die Namen oder Nummern von Objekten oder auch komplexe Formate wie Fotos oder Zertifikate für elektronische Signaturen umfassen. OpenLDAP stellt eine Referenz-Implementierung für einen Server-Dienst im Rahmen des Lightweight Directory Access Protocols (LDAP) dar. Als Open-Source-Software kann OpenLDAP auf einer Vielzahl von Betriebssystemen installiert werden und gilt als einer der am meisten verbreiteten Verzeichnisdienste. Zur Besonderheit von OpenLDAP gehören die Overlays. Overlays erweitern den Funktionsumfang von OpenLDAP um zahlreiche Funktionen und werden auch für grundlegende Funktionen wie Protokollierung, Replikation und die Wahrung der Integrität verwendet.
Ziel dieser Sicherheitsrichtlinie ist es, Verzeichnisdienste wie ein Active-Directory oder openLDAP im Regelbetrieb sicher zu betreiben sowie die damit verarbeiteten Informationen angemessen zu schützen. Für die Erstellung dieser Sicherheitsrichtlinie wurde auf die Vorgaben der BSI Bausteine APP.2.1 "Allgemeiner Verzeichnisdienst", APP.2.2 "Active Directory" und APP.2.3 "OpenLDAP" aus dem Kompendium 2020 zurückgegriffen.
Über den bereitgestellten Download-Link kann die Vorlage heruntergeladen werden.