Appliance PowerProtect série DP et IDPA : accès anonyme au répertoire LDAP autorisé sur Appliance Configuration Manager.
Summary: Un client a signalé la faille de sécurité suivante sur son DP4400 exécutant IDPA version 2.7.1. Le protocole LDAP (Lightweight Directory Access Protocol) peut être utilisé pour fournir des informations sur les utilisateurs, les groupes, etc. Le service LDAP sur ce système autorise les connexions anonymes. Si des utilisateurs malveillants ont accès à ces informations, ils peuvent lancer d'autres attaques. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Le client utilise un système IDPA DP4400 avec LDAP interne et rencontre un problème de sécurité de liaison LDAP anonyme après avoir effectué une analyse de sécurité sur le système IDPA.
Cause
ACM offre un accès anonyme au répertoire LDAP, ce qui permet aux utilisateurs malveillants d'accéder aux utilisateurs, aux groupes, etc.
Resolution
Remarque : Après la désactivation de la recherche anonyme LDAP dans ACM, il déclenche une exception de code dans le workflow actuel de modification du mot de passe ACM sur ou avant la version 2.7.3 du logiciel IDPA. Si une modification du mot de passe est requise après la mise en œuvre de cette solution de sécurité, veuillez suivre les 000212941 de la base de connaissances pour réactiver la recherche anonyme LDAP dans ACM. Lorsque la modification du mot de passe est terminée avec succès, la recherche anonyme LDAP peut à nouveau être désactivée.
Suivez les étapes ci-dessous pour désactiver l'accès anonyme au répertoire LDAP dans Appliance Configuration Manager.
1. Ouvrez SSH sur ACM et connectez-vous en tant qu'utilisateur root.
2. Redémarrez LDAP à l'aide de la commande suivante : systemctl restart slapd
3. Créez un fichier ldif à l'aide de la commande suivante :
vi /etc/openldap/ldap_disable_bind_anon.ldif
Collez le contenu suivant dans le fichier:
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
Exécutez ensuite la commande suivante sur ACM:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
Exemple de résultat
acm-xxxx:~ # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
4. Exécutez la commande suivante pour tester le correctif:
sur les versions 2.6 et ultérieures, exécutez la commande suivante:
ldapsearch -x -b "dc=idpa,dc=local" "*" -h |awk '/dn: / {print $2}'
Sur les versions 2.5 et antérieures, exécutez la commande suivante:
ldapsearch -x -b "dc=idpa,dc=com" "*" -h |awk '/dn: / {print $2}'
Exemple de sortie :
acm-xxxxx:~ # ldapsearch -x -b "dc=idpa,dc=local" "*" -h acm-5800-crk.dp.ce.gslabs.lab.emc.com |awk '/dn: / {print $2}'
ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowedAdditional Information
Remarque : Un problème a été signalé après avoir suivi l’article de KB ci-dessus.
Après la désactivation de la recherche anonyme LDAP dans ACM, il déclenche une exception de code dans le workflow actuel de modification du mot de passe ACM sur ou avant la version 2.7.3 du logiciel IDPA. Si une modification du mot de passe est requise sur l’appliance après la désactivation de l’accès anonyme LDAP, veuillez suivre l’article 000212941 pour réactiver la recherche anonyme LDAP dans ACM. Lorsque la modification du mot de passe est terminée avec succès, la recherche anonyme LDAP peut à nouveau être désactivée.
Si une modification de mot de passe est requise, veuillez suivre l’article 000212941 pour réactiver la recherche anonyme LDAP dans ACM. Lorsque la modification du mot de passe est terminée avec succès, la recherche anonyme LDAP peut à nouveau être désactivée.
Après la désactivation de la recherche anonyme LDAP dans ACM, il déclenche une exception de code dans le workflow actuel de modification du mot de passe ACM sur ou avant la version 2.7.3 du logiciel IDPA. Si une modification du mot de passe est requise sur l’appliance après la désactivation de l’accès anonyme LDAP, veuillez suivre l’article 000212941 pour réactiver la recherche anonyme LDAP dans ACM. Lorsque la modification du mot de passe est terminée avec succès, la recherche anonyme LDAP peut à nouveau être désactivée.
Si une modification de mot de passe est requise, veuillez suivre l’article 000212941 pour réactiver la recherche anonyme LDAP dans ACM. Lorsque la modification du mot de passe est terminée avec succès, la recherche anonyme LDAP peut à nouveau être désactivée.
Affected Products
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance SoftwareProducts
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900Article Properties
Article Number: 000196092
Article Type: Solution
Last Modified: 03 May 2023
Version: 7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.