Version 0.42-with-extra-sparkles
Lecture: Æ-DIR
Paranoid user management with OpenLDAP
Ist Identity & Access Management mit Need-To-Know-Prinzip möglich? Ja!
Dieser Vortrag stellt das freie Projekt Æ-DIR vor. Æ-DIR kombiniert feingranulierte Zugriffskontrolle für LDAP-fähige
Systeme mit hohem Schutzbedarf mit konsequenter Delegation, selbst bei direktem LDAP-Zugriff.
Æ-DIR ist ein paranoides Identity & Access Management (IAM) basierend auf
OpenLDAP und diversen Zusatzkomponenten.
Im Gegensatz zu anderen LDAP-Servern muss für an Æ-DIR angeschlossene
Systeme die Sichtbarkeit von Benutzern & Gruppen immer explizit erlaubt
werden. Dies erfolgt rein über Datenpflege in Æ-DIR und erlaubt auch
vollständig voneinander isolierte Bereiche (Zonen) anzulegen und delegiert
zu administrieren.
LDAP-fähige Anwendungen müssen hierfür, auch dank Schemakompabilität
(LDAPv3, RFC 2307 etc.) nicht speziell für Æ-DIR angepasst werden. Vielmehr
wird die Konfiguration der Clients bewusst simpel gehalten.
Die Administration wird auf mehreren Ebenen an kleine Benutzergruppen
delegiert, um zu mächtige Stellvertreter-Rollen zu vermeiden. Dies macht
auch die in der Regel vergleichsweise langsamen Genehmigungsprozesse
überflüssig. Feingranulierte OpenLDAP-ACLs implementieren diese
Delegationsbeziehungen, so dass auch direkte LDAP-Zugriffe zur
Administration mithilfe eigener Skripte erlaubt ist und dabei trotzdem das
Sicherheitsmodell nicht verletzt wird.
Strikte Vorgaben im System z.B. bzgl. ID-Vergabe etc. dienen der
langfristigen Auditierbarkeit und somit als Grundlage für detaillierte
Compliance-Prüfungen, auch mithilfe der bei OpenLDAP verfügbaren
Audit-Datenbank.
Ferner wird die Integration von Zwei-Faktor-Authentifizierung mit OATH-LDAP
und ein sicherer Initialisierungsprozess für die Ausgabe von yubikey-Tokens
vorgestellt. OATH-LDAP bietet die direkte Integration LDAP-fähiger
Anwendungen ohne client-seitige Anpassungen und ist direkt in Æ-DIR
verfügbar.
Eine Vorgängerversion dieses Konzepts wird z.B. in einem Internet-Unternehmen für
administrative Zugriffe auf 15000+ Linux-Server eingesetzt.
Info
Day:
2017-08-19
Start time:
17:45
Duration:
01:00
Room:
HS 8
Track:
Security
Language:
de
Links:
Feedback
Click here to let us know how you liked this event.
Concurrent Events
Speakers
Michael Ströder |