- Der Einsatz von OpenLDAP in einer Institution MUSS sorgfältig geplant werden.
- Soll OpenLDAP gemeinsam mit anderen Anwendungen verwendet werden, so MÜSSEN die Planung, Konfiguration und Installation der Anwendungen mit OpenLDAP aufeinander abgestimmt werden.
- Für die zur Datenhaltung verwendete Datenbank MUSS sichergestellt werden, dass die verwendete Version kompatibel ist.
- Backends und Overlays für OpenLDAP MÜSSEN restriktiv selektiert werden.
- Dazu MUSS sichergestellt werden, dass die OpenLDAP-Overlays in der korrekten Reihenfolge eingesetzt werden.
- Bei der Planung von OpenLDAP MÜSSEN die auszuwählenden und unterstützten Client-Anwendungen berücksichtigt werden.
- Diese Anforderung ist entfallen.
- Für die sichere Konfiguration von OpenLDAP MUSS der slapd-Server korrekt konfiguriert werden.
- Es MÜSSEN auch die verwendeten Client-Anwendungen sicher konfiguriert werden.
- Bei der Konfiguration von OpenLDAP MUSS darauf geachtet werden, dass im Betriebssystem die Berechtigungen korrekt gesetzt sind.
- Die Vorgabewerte aller relevanten Konfigurationsdirektiven von OpenLDAP MÜSSEN geprüft und gegebenenfalls angepasst werden.
- Die Backends und Overlays von OpenLDAP MÜSSEN in die Konfiguration einbezogen werden.
- Für die Suche innerhalb von OpenLDAP MÜSSEN angemessene Zeit- und Größenbeschränkungen festgelegt werden.
- Die Konfiguration am slapd-Server MUSS nach jeder Änderung geprüft werden.
- Die Zugriffsrechte für neu angelegte Datenbankdateien MÜSSEN auf die Benutzerkennung beschränkt werden, in deren Kontext der slapd-Server betrieben wird.
- Die Standard-Einstellungen der von OpenLDAP genutzten Datenbank MÜSSEN angepasst werden.
- Die in OpenLDAP geführten globalen und datenbankspezifischen Zugriffskontrolllisten (Access Control Lists) MÜSSEN beim Einsatz von OpenLDAP korrekt berücksichtigt werden.
- Datenbank-Direktiven MÜSSEN Vorrang vor globalen Direktiven haben.
- Wenn der Verzeichnisdienst zwischen verschiedenen Benutzern unterscheiden soll, MÜSSEN sich diese geeignet authentisieren.
- Die Authentisierung zwischen dem slapd-Server und den Kommunikationspartnern MUSS verschlüsselt werden.
- Es DÜRFEN NUR die Hashwerte von Passwörtern auf den Clients und Servern abgespeichert werden.
- Es MUSS ein geeigneter Hashing-Algorithmus verwendet werden.
- Diese Anforderung ist entfallen.
- Anhand von Overlays SOLLTEN die Attribute in OpenLDAP eingeschränkt werden.
- OpenLDAP SOLLTE so angepasst werden, dass Werte im Verzeichnisdienst nur einem bestimmten regulären Ausdruck entsprechen.
- Zudem SOLLTE mit Hilfe von Overlays sichergestellt werden, das ausgesuchte Werte nur einmal im Verzeichnisbaum vorhanden sind.
- Solche Restriktionen SOLLTEN ausschließlich auf Nutzerdaten angewendet werden.
- OpenLDAP SOLLTE in Teilbäume auf verschiedene Server aufgeteilt (partitioniert) werden.
- Dabei SOLLTEN Veränderungen an den Daten durch Replikation zwischen den Servern ausgetauscht werden.
- Der Replikationsmodus SOLLTE in Abhängigkeit von Netzverbindungen und Verfügbarkeitsanforderungen gewählt werden.
- Bei Updates SOLLTE darauf geachtet werden, ob die Änderungen eingesetzte Backends oder Overlays sowie Softwareabhängigkeiten betreffen.
- Setzen Administratoren eigene Skripte ein, SOLLTEN sie daraufhin überprüft werden, ob sie mit der aktualisierten Version von OpenLDAP problemlos zusammenarbeiten.
- Die Konfiguration und die Zugriffsrechte SOLLTEN nach einer Aktualisierung sorgfältig geprüft werden.
- Der slapd-Server SOLLTE auf ein Laufzeitverzeichnis eingeschränkt werden.
- Hierfür SOLLTE dieses Verzeichnis alle Konfigurationsdateien und Datenbanken beinhalten.
- Diese Anforderung ist entfallen.
- Diese Anforderung ist entfallen.