Enhed for PowerProtect DP-serien og IDPA: Anonym LDAP-mappeadgang, der er tilladt på Appliance Configuration Manager.
Summary: En kunde rapporterede følgende sikkerhedsrisiko på deres DP4400, der kører IDPA version 2.7.1. Lightweight Directory Access Protocol (LDAP) kan bruges til at give oplysninger om brugere, grupper osv. LDAP-tjenesten på dette system tillader anonyme forbindelser. Ondsindede brugere kan hjælpe dem med at starte yderligere angreb, hvis de får adgang til disse oplysninger. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Kunden bruger et IDPA DP4400-system med intern LDAP, og de oplever et anonymt LDAP-sikkerhedsproblem efter at have udført en sikkerhedsscanning på IDPA-systemet.
Cause
ACM har LDAP Anonym Directory Access, hvilket resulterer i, at ondsindede brugere kan få adgang til brugere, grupperaf ec.
Resolution
BEMÆRK: Efter deaktivering af et anonymt LDAP-opslag i ACM udløser det en kodeundtagelse i det aktuelle ACM-workflow, der ændrer adgangskoden, på eller før IDPA-softwareversion 2.7.3. Hvis det er nødvendigt at ændre adgangskoden efter implementering af denne sikkerhedsløsning, skal du følge KB-000212941 for at genaktivere det anonyme LDAP-opslag i ACM. Når ændringen af adgangskoden er fuldført, kan det anonyme LDAP-opslag deaktiveres igen.
Brug følgende trin for at deaktivere anonym LDAP-mappeadgang på Appliance Configuration Manager.
1. Åbn SSH på ACM, og log på som "root"-bruger.
2. Genstart LDAP ved hjælp af følgende kommando: systemctl restart slået
3. Opret ldif-fil ved hjælp af følgende kommando:
vi /etc/openldap/ldap_disable_bind_anon.ldif
Indsæt følgende indhold i filen:
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
Kør derefter følgende kommando på ACM:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
Eksempel på output
acm-xxxx:~ # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
4. Kør følgende kommando for at teste, om rettelsen er blevet implementeret:
Kør følgende kommando på version 2.6 og derover:
ldapsearch -x -b "dc=idpa,dc=local" "*" -h |awk '/dn: / {print $2}'
På version 2.5 og derunder skal du køre følgende kommando:
ldapsearch -x -b "dc=idpa,dc=com" "*" -h |awk '/dn: / {print $2}'
Eksempel på output:
acm-xxxxx:~ # ldapsearch -x -b "dc=idpa,dc=local" "*" -h acm-5800-crk.dp.ce.gslabs.lab.emc.com |awk '/dn: / {print $2}'
ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowedAdditional Information
BEMÆRK: Der er rapporteret et problem efter at have fulgt ovenstående KB.
Efter deaktivering af et anonymt LDAP-opslag i ACM udløser det en kodeundtagelse i det aktuelle ACM-workflow, der ændrer adgangskoden, på eller før IDPA-softwareversion 2.7.3. I tilfælde af, at ændring af adgangskode er påkrævet på enheden efter deaktivering af anonym LDAP-adgang, skal du følge artikel 000212941 for at genaktivere LDAP anonymt opslag i ACM. Når ændringen af adgangskoden er fuldført, kan det anonyme LDAP-opslag deaktiveres igen.
Hvis det er nødvendigt at ændre adgangskoden, skal du følge artikel 000212941 for at genaktivere et anonymt LDAP-opslag i ACM. Når ændringen af adgangskoden er fuldført, kan det anonyme LDAP-opslag deaktiveres igen.
Efter deaktivering af et anonymt LDAP-opslag i ACM udløser det en kodeundtagelse i det aktuelle ACM-workflow, der ændrer adgangskoden, på eller før IDPA-softwareversion 2.7.3. I tilfælde af, at ændring af adgangskode er påkrævet på enheden efter deaktivering af anonym LDAP-adgang, skal du følge artikel 000212941 for at genaktivere LDAP anonymt opslag i ACM. Når ændringen af adgangskoden er fuldført, kan det anonyme LDAP-opslag deaktiveres igen.
Hvis det er nødvendigt at ændre adgangskoden, skal du følge artikel 000212941 for at genaktivere et anonymt LDAP-opslag i ACM. Når ændringen af adgangskoden er fuldført, kan det anonyme LDAP-opslag deaktiveres igen.
Affected Products
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance SoftwareProducts
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900Article Properties
Article Number: 000196092
Article Type: Solution
Last Modified: 03 May 2023
Version: 7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.