PowerProtect DP serie apparaat en IDPA: LDAP Anonieme directorytoegang toegestaan in Appliance Configuration Manager.
Summary: Een klant heeft het volgende beveiligingslek gemeld op hun DP4400 met IDPA versie 2.7.1. Het Lightweight Directory Access Protocol (LDAP) kan worden gebruikt om informatie te verstrekken over gebruikers, groepen, enz. De LDAP-service op dit systeem staat anonieme verbindingen toe. Toegang tot deze informatie door kwaadwillende gebruikers kan hen helpen bij het starten van verdere aanvallen. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
De klant gebruikt een IDPA DP4400-systeem met interne LDAP en ondervindt een anoniem LDAP-beveiligingsprobleem na het uitvoeren van een beveiligingsscan op het IDPA-systeem.
Cause
ACM heeft LDAP Anonymous Directory Access, wat resulteert in kwaadwillende gebruikers die toegang krijgen tot gebruikers, groepen etc.
Resolution
OPMERKING: Na het uitschakelen van de LDAP anonieme lookup in ACM, wordt een code-uitzondering geactiveerd in de huidige workflow voor het wijzigen van het ACM-wachtwoord op of vóór IDPA softwareversie 2.7.3. Als na het implementeren van deze beveiligingsoplossing een wachtwoordwijziging vereist is, volgt u KB-000212941 om de LDAP anonieme lookup in ACM opnieuw in te schakelen. Wanneer de wachtwoordwijziging is voltooid, kan de LDAP anonieme lookup opnieuw worden uitgeschakeld.
Gebruik de volgende stappen om LDAP anonieme directorytoegang in Appliance Configuration Manager uit te schakelen.
1. Open SSH op ACM en meld u aan als 'root'-gebruiker.
2. Start LDAP opnieuw op met de volgende opdracht: systemctl restart slapd
3. Maak een ldif-bestand met de volgende opdracht:
vi /etc/openldap/ldap_disable_bind_anon.ldif
Plak de volgende inhoud in het bestand:
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
Voer vervolgens de volgende opdracht uit op ACM:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
Uitvoervoorbeeld
acm-xxxx:~ # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
4. Voer de volgende opdracht uit om te testen of de oplossing is geïmplementeerd:
Voer bij versie 2.6 en hoger de volgende opdracht uit:
ldapsearch -x -b "dc=idpa,dc=local" "*" -h |awk '/dn: / {print $2}'
Voer in versie 2.5 en lager de volgende opdracht uit:
ldapsearch -x -b "dc=idpa,dc=com" "*" -h |awk '/dn: / {print $2}'
Voorbeeldresultaat:
acm-xxxxx:~ # ldapsearch -x -b "dc=idpa,dc=local" "*" -h acm-5800-crk.dp.ce.gslabs.lab.emc.com |awk '/dn: / {print $2}'
ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowedAdditional Information
OPMERKING: Er is een probleem gemeld na het volgen van het bovenstaande KB-artikel.
Na het uitschakelen van de LDAP anonieme lookup in ACM, wordt een code-uitzondering geactiveerd in de huidige workflow voor het wijzigen van het ACM-wachtwoord op of vóór IDPA softwareversie 2.7.3. Als wachtwoordwijziging vereist is op het apparaat na het uitschakelen van LDAP anonieme toegang, volgt u artikel 000212941 om de LDAP anonieme lookup in ACM opnieuw in te schakelen. Wanneer de wachtwoordwijziging is voltooid, kan de LDAP anonieme lookup opnieuw worden uitgeschakeld.
Als u een wachtwoordwijziging nodig hebt, volgt u artikel 000212941 om de LDAP anonieme lookup in ACM opnieuw in te schakelen. Wanneer de wachtwoordwijziging is voltooid, kan de LDAP anonieme lookup opnieuw worden uitgeschakeld.
Na het uitschakelen van de LDAP anonieme lookup in ACM, wordt een code-uitzondering geactiveerd in de huidige workflow voor het wijzigen van het ACM-wachtwoord op of vóór IDPA softwareversie 2.7.3. Als wachtwoordwijziging vereist is op het apparaat na het uitschakelen van LDAP anonieme toegang, volgt u artikel 000212941 om de LDAP anonieme lookup in ACM opnieuw in te schakelen. Wanneer de wachtwoordwijziging is voltooid, kan de LDAP anonieme lookup opnieuw worden uitgeschakeld.
Als u een wachtwoordwijziging nodig hebt, volgt u artikel 000212941 om de LDAP anonieme lookup in ACM opnieuw in te schakelen. Wanneer de wachtwoordwijziging is voltooid, kan de LDAP anonieme lookup opnieuw worden uitgeschakeld.
Affected Products
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance SoftwareProducts
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900Article Properties
Article Number: 000196092
Article Type: Solution
Last Modified: 03 May 2023
Version: 7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.