Enhed for PowerProtect DP-serien og IDPA: Anonym LDAP-mappeadgang, der er tilladt på Appliance Configuration Manager.
Riepilogo: En kunde rapporterede følgende sikkerhedsrisiko på deres DP4400, der kører IDPA version 2.7.1. Lightweight Directory Access Protocol (LDAP) kan bruges til at give oplysninger om brugere, grupper osv. LDAP-tjenesten på dette system tillader anonyme forbindelser. Ondsindede brugere kan hjælpe dem med at starte yderligere angreb, hvis de får adgang til disse oplysninger. ...
Questo articolo si applica a
Questo articolo non si applica a
Questo articolo non è legato a un prodotto specifico.
Non tutte le versioni del prodotto sono identificate in questo articolo.
Sintomi
Kunden bruger et IDPA DP4400-system med intern LDAP, og de oplever et anonymt LDAP-sikkerhedsproblem efter at have udført en sikkerhedsscanning på IDPA-systemet.
Causa
ACM har LDAP Anonym Directory Access, hvilket resulterer i, at ondsindede brugere kan få adgang til brugere, grupperaf ec.
Risoluzione
BEMÆRK: Efter deaktivering af et anonymt LDAP-opslag i ACM udløser det en kodeundtagelse i det aktuelle ACM-workflow, der ændrer adgangskoden, på eller før IDPA-softwareversion 2.7.3. Hvis det er nødvendigt at ændre adgangskoden efter implementering af denne sikkerhedsløsning, skal du følge KB-000212941 for at genaktivere det anonyme LDAP-opslag i ACM. Når ændringen af adgangskoden er fuldført, kan det anonyme LDAP-opslag deaktiveres igen.
Brug følgende trin for at deaktivere anonym LDAP-mappeadgang på Appliance Configuration Manager.
1. Åbn SSH på ACM, og log på som "root"-bruger.
2. Genstart LDAP ved hjælp af følgende kommando: systemctl restart slået
3. Opret ldif-fil ved hjælp af følgende kommando:
vi /etc/openldap/ldap_disable_bind_anon.ldif
Indsæt følgende indhold i filen:
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
Kør derefter følgende kommando på ACM:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
Eksempel på output
acm-xxxx:~ # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
4. Kør følgende kommando for at teste, om rettelsen er blevet implementeret:
Kør følgende kommando på version 2.6 og derover:
ldapsearch -x -b "dc=idpa,dc=local" "*" -h |awk '/dn: / {print $2}'
På version 2.5 og derunder skal du køre følgende kommando:
ldapsearch -x -b "dc=idpa,dc=com" "*" -h |awk '/dn: / {print $2}'
Eksempel på output:
acm-xxxxx:~ # ldapsearch -x -b "dc=idpa,dc=local" "*" -h acm-5800-crk.dp.ce.gslabs.lab.emc.com |awk '/dn: / {print $2}'
ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowedInformazioni aggiuntive
BEMÆRK: Der er rapporteret et problem efter at have fulgt ovenstående KB.
Efter deaktivering af et anonymt LDAP-opslag i ACM udløser det en kodeundtagelse i det aktuelle ACM-workflow, der ændrer adgangskoden, på eller før IDPA-softwareversion 2.7.3. I tilfælde af, at ændring af adgangskode er påkrævet på enheden efter deaktivering af anonym LDAP-adgang, skal du følge artikel 000212941 for at genaktivere LDAP anonymt opslag i ACM. Når ændringen af adgangskoden er fuldført, kan det anonyme LDAP-opslag deaktiveres igen.
Hvis det er nødvendigt at ændre adgangskoden, skal du følge artikel 000212941 for at genaktivere et anonymt LDAP-opslag i ACM. Når ændringen af adgangskoden er fuldført, kan det anonyme LDAP-opslag deaktiveres igen.
Efter deaktivering af et anonymt LDAP-opslag i ACM udløser det en kodeundtagelse i det aktuelle ACM-workflow, der ændrer adgangskoden, på eller før IDPA-softwareversion 2.7.3. I tilfælde af, at ændring af adgangskode er påkrævet på enheden efter deaktivering af anonym LDAP-adgang, skal du følge artikel 000212941 for at genaktivere LDAP anonymt opslag i ACM. Når ændringen af adgangskoden er fuldført, kan det anonyme LDAP-opslag deaktiveres igen.
Hvis det er nødvendigt at ændre adgangskoden, skal du følge artikel 000212941 for at genaktivere et anonymt LDAP-opslag i ACM. Når ændringen af adgangskoden er fuldført, kan det anonyme LDAP-opslag deaktiveres igen.
Prodotti interessati
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance SoftwareProdotti
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900Proprietà dell'articolo
Numero articolo: 000196092
Tipo di articolo: Solution
Ultima modifica: 03 mag 2023
Versione: 7
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.