PowerProtect DP 系列备份一体机和 IDPA:Appliance Configuration Manager 上允许 LDAP 匿名目录访问。
Summary: 客户报告其运行 IDPA 版本 2.7.1 的 DP4400 上有以下漏洞。 轻量级目录访问协议 (LDAP) 可用于提供有关用户、组等的信息。此系统上的 LDAP 服务允许匿名连接。如果恶意用户获得此信息,可能会利用它来发起进一步的攻击。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
客户使用具有内部 LDAP 的 IDPA DP4400 系统,在 IDPA 系统上执行安全扫描后,遇到匿名 LDAP 绑定安全问题。
Cause
ACM 具有 LDAP 匿名目录访问权限,导致恶意用户可以访问用户、组等信息。
Resolution
提醒:在 ACM 中禁用 LDAP 匿名查找后,它会在 IDPA 软件版本 2.7.3 或之前的当前 ACM 密码更改工作流中触发代码异常。如果在实施此安全解决方案后需要更改密码,请按照 KB 000212941在 ACM 中重新启用 LDAP 匿名查找。密码更改成功完成后,可以再次禁用 LDAP 匿名查找。
使用以下步骤在 Appliance Configuration Manager 上禁用 LDAP 匿名目录访问权限。
1.在 ACM 上打开 SSH,并以“root”用户身份登录。
2. 使用以下命令重新启动 LDAP:systemctl restart slapd
3.使用以下命令创建 ldif 文件:
vi /etc/openldap/ldap_disable_bind_anon.ldif
将以下内容粘贴到文件中:
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
然后在 ACM 上运行以下命令:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
输出示例
acm-xxxx:~ # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
4.运行以下命令以测试修复已实施:
在版本 2.6 及更高版本上,运行以下命令:
ldapsearch -x -b "dc=idpa,dc=local" "*" -h |awk '/dn: / {print $2}'
在版本 2.5 及更低版本上,运行以下命令:
ldapsearch -x -b "dc=idpa,dc=com" "*" -h |awk '/dn: / {print $2}'
输出示例:
acm-xxxxx:~ # ldapsearch -x -b "dc=idpa,dc=local" "*" -h acm-5800-crk.dp.ce.gslabs.lab.emc.com |awk '/dn: / {print $2}'
ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowedAdditional Information
提醒:遵循上述知识库文章后,已报告问题。
在 ACM 中禁用 LDAP 匿名查找后,它会在 IDPA 软件版本 2.7.3 或之前的当前 ACM 密码更改工作流中触发代码异常。如果禁用 LDAP 匿名访问后应用装置上需要更改密码,请按照文章000212941在 ACM 中重新启用 LDAP 匿名查找。密码更改成功完成后,可以再次禁用 LDAP 匿名查找。
如果需要更改密码,请按照 文章000212941在 ACM 中重新启用 LDAP 匿名查找。密码更改成功完成后,可以再次禁用 LDAP 匿名查找。
在 ACM 中禁用 LDAP 匿名查找后,它会在 IDPA 软件版本 2.7.3 或之前的当前 ACM 密码更改工作流中触发代码异常。如果禁用 LDAP 匿名访问后应用装置上需要更改密码,请按照文章000212941在 ACM 中重新启用 LDAP 匿名查找。密码更改成功完成后,可以再次禁用 LDAP 匿名查找。
如果需要更改密码,请按照 文章000212941在 ACM 中重新启用 LDAP 匿名查找。密码更改成功完成后,可以再次禁用 LDAP 匿名查找。
Affected Products
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance SoftwareProducts
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900Article Properties
Article Number: 000196092
Article Type: Solution
Last Modified: 03 May 2023
Version: 7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.