Appliance PowerProtect série DP et IDPA : accès anonyme au répertoire LDAP autorisé sur Appliance Configuration Manager.
Résumé: Un client a signalé la faille de sécurité suivante sur son DP4400 exécutant IDPA version 2.7.1. Le protocole LDAP (Lightweight Directory Access Protocol) peut être utilisé pour fournir des informations sur les utilisateurs, les groupes, etc. Le service LDAP sur ce système autorise les connexions anonymes. Si des utilisateurs malveillants ont accès à ces informations, ils peuvent lancer d'autres attaques. ...
Cet article concerne
Cet article ne concerne pas
Cet article n’est associé à aucun produit spécifique.
Toutes les versions du produit ne sont pas identifiées dans cet article.
Symptômes
Le client utilise un système IDPA DP4400 avec LDAP interne et rencontre un problème de sécurité de liaison LDAP anonyme après avoir effectué une analyse de sécurité sur le système IDPA.
Cause
ACM offre un accès anonyme au répertoire LDAP, ce qui permet aux utilisateurs malveillants d'accéder aux utilisateurs, aux groupes, etc.
Résolution
Remarque : Après la désactivation de la recherche anonyme LDAP dans ACM, il déclenche une exception de code dans le workflow actuel de modification du mot de passe ACM sur ou avant la version 2.7.3 du logiciel IDPA. Si une modification du mot de passe est requise après la mise en œuvre de cette solution de sécurité, veuillez suivre les 000212941 de la base de connaissances pour réactiver la recherche anonyme LDAP dans ACM. Lorsque la modification du mot de passe est terminée avec succès, la recherche anonyme LDAP peut à nouveau être désactivée.
Suivez les étapes ci-dessous pour désactiver l'accès anonyme au répertoire LDAP dans Appliance Configuration Manager.
1. Ouvrez SSH sur ACM et connectez-vous en tant qu'utilisateur root.
2. Redémarrez LDAP à l'aide de la commande suivante : systemctl restart slapd
3. Créez un fichier ldif à l'aide de la commande suivante :
vi /etc/openldap/ldap_disable_bind_anon.ldif
Collez le contenu suivant dans le fichier:
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
Exécutez ensuite la commande suivante sur ACM:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
Exemple de résultat
acm-xxxx:~ # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
4. Exécutez la commande suivante pour tester le correctif:
sur les versions 2.6 et ultérieures, exécutez la commande suivante:
ldapsearch -x -b "dc=idpa,dc=local" "*" -h |awk '/dn: / {print $2}'
Sur les versions 2.5 et antérieures, exécutez la commande suivante:
ldapsearch -x -b "dc=idpa,dc=com" "*" -h |awk '/dn: / {print $2}'
Exemple de sortie :
acm-xxxxx:~ # ldapsearch -x -b "dc=idpa,dc=local" "*" -h acm-5800-crk.dp.ce.gslabs.lab.emc.com |awk '/dn: / {print $2}'
ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowedInformations supplémentaires
Remarque : Un problème a été signalé après avoir suivi l’article de KB ci-dessus.
Après la désactivation de la recherche anonyme LDAP dans ACM, il déclenche une exception de code dans le workflow actuel de modification du mot de passe ACM sur ou avant la version 2.7.3 du logiciel IDPA. Si une modification du mot de passe est requise sur l’appliance après la désactivation de l’accès anonyme LDAP, veuillez suivre l’article 000212941 pour réactiver la recherche anonyme LDAP dans ACM. Lorsque la modification du mot de passe est terminée avec succès, la recherche anonyme LDAP peut à nouveau être désactivée.
Si une modification de mot de passe est requise, veuillez suivre l’article 000212941 pour réactiver la recherche anonyme LDAP dans ACM. Lorsque la modification du mot de passe est terminée avec succès, la recherche anonyme LDAP peut à nouveau être désactivée.
Après la désactivation de la recherche anonyme LDAP dans ACM, il déclenche une exception de code dans le workflow actuel de modification du mot de passe ACM sur ou avant la version 2.7.3 du logiciel IDPA. Si une modification du mot de passe est requise sur l’appliance après la désactivation de l’accès anonyme LDAP, veuillez suivre l’article 000212941 pour réactiver la recherche anonyme LDAP dans ACM. Lorsque la modification du mot de passe est terminée avec succès, la recherche anonyme LDAP peut à nouveau être désactivée.
Si une modification de mot de passe est requise, veuillez suivre l’article 000212941 pour réactiver la recherche anonyme LDAP dans ACM. Lorsque la modification du mot de passe est terminée avec succès, la recherche anonyme LDAP peut à nouveau être désactivée.
Produits concernés
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance SoftwareProduits
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900Propriétés de l’article
Numéro d’article: 000196092
Type d’article: Solution
Dernière modification: 03 mai 2023
Version: 7
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.