Zařízení PowerProtect řady DP a IDPA: V nástroji Appliance Configuration Manager je povolen přístup k anonymnímu adresáři LDAP.
Summary: Zákazník nahlásil následující chybu zabezpečení na portu DP4400 se systémem IDPA verze 2.7.1. Protokol LDAP (Lightweight Directory Access Protocol) lze použít k poskytování informací o uživatelích, skupinách atd. Služba LDAP v tomto systému umožňuje anonymní připojení. Přístup uživatelů se zlými úmysly k tomuto problému může pomoci při spouštění dalších útoků. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Zákazník používá systém IDPA DP4400 s interním protokolem LDAP a po provedení bezpečnostní kontroly v systému IDPA dochází k anonymnímu problému se zabezpečením vazby LDAP.
Cause
Rozhraní ACM má přístup k anonymnímu adresáři LDAP, což vede k tomu, že uživatelé se zlými úmysly mohou získat přístup k uživatelům, skupinám atc.
Resolution
POZNÁMKA: Po zakázání anonymního vyhledávání LDAP v rozhraní ACM se v aktuálním pracovním postupu změny hesla ACM u softwaru IDPA verze 2.7.3 nebo starší spustí výjimka kódu. V případě, že je po implementaci tohoto bezpečnostního řešení vyžadována změna hesla, postupujte podle 000212941 databáze znalostí a znovu povolte anonymní vyhledávání LDAP v rozhraní ACM. Po úspěšném dokončení změny hesla lze anonymní vyhledávání LDAP znovu zakázat.
Chcete-li v nástroji Appliance Configuration Manager zakázat anonymní přístup k adresáři LDAP, použijte následující postup.
1. Otevřete V rozhraní ACM protokol SSH a přihlaste se jako uživatel "root".
2. Restartujte protokol LDAP pomocí následujícího příkazu: systemctl restart slapd
3. Vytvořte soubor ldif pomocí následujícího příkazu:
vi /etc/openldap/ldap_disable_bind_anon.ldif
Vložte do souboru následující obsah:
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
Poté v rozhraní ACM spusťte následující příkaz:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
Ukázkový výstup
acm-xxxx:~ # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
4. Spuštěním následujícího příkazu otestujte, zda byla oprava zavedena:
Ve verzích 2.6 a vyšších spusťte následující příkaz:
ldapsearch -x -b "dc=idpa,dc=local" "*" -h |awk '/dn: / {print $2}'
Ve verzích 2.5 a nižších spusťte následující příkaz:
ldapsearch -x -b "dc=idpa,dc=com" "*" -h |awk '/dn: / {print $2}'
Ukázkový výstup:
acm-xxxxx:~ # ldapsearch -x -b "dc=idpa,dc=local" "*" -h acm-5800-crk.dp.ce.gslabs.lab.emc.com |awk '/dn: / {print $2}'
ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowedAdditional Information
POZNÁMKA: Po provedení výše uvedené databáze znalostí byl hlášen problém.
Po zakázání anonymního vyhledávání LDAP v rozhraní ACM se v aktuálním pracovním postupu změny hesla ACM u softwaru IDPA verze 2.7.3 nebo starší spustí výjimka kódu. V případě, že je v zařízení vyžadována změna hesla po zakázání anonymního přístupu LDAP, postupujte podle článku 000212941 a znovu povolte anonymní vyhledávání LDAP v rozhraní ACM. Po úspěšném dokončení změny hesla lze anonymní vyhledávání LDAP znovu zakázat.
V případě potřeby změňte heslo podle článku 000212941 znovu povolte anonymní vyhledávání LDAP v rozhraní ACM. Po úspěšném dokončení změny hesla lze anonymní vyhledávání LDAP znovu zakázat.
Po zakázání anonymního vyhledávání LDAP v rozhraní ACM se v aktuálním pracovním postupu změny hesla ACM u softwaru IDPA verze 2.7.3 nebo starší spustí výjimka kódu. V případě, že je v zařízení vyžadována změna hesla po zakázání anonymního přístupu LDAP, postupujte podle článku 000212941 a znovu povolte anonymní vyhledávání LDAP v rozhraní ACM. Po úspěšném dokončení změny hesla lze anonymní vyhledávání LDAP znovu zakázat.
V případě potřeby změňte heslo podle článku 000212941 znovu povolte anonymní vyhledávání LDAP v rozhraní ACM. Po úspěšném dokončení změny hesla lze anonymní vyhledávání LDAP znovu zakázat.
Affected Products
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance SoftwareProducts
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900Article Properties
Article Number: 000196092
Article Type: Solution
Last Modified: 03 May 2023
Version: 7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.