PowerProtect DP serie apparaat en IDPA: LDAP Anonieme directorytoegang toegestaan in Appliance Configuration Manager.
Riepilogo: Een klant heeft het volgende beveiligingslek gemeld op hun DP4400 met IDPA versie 2.7.1. Het Lightweight Directory Access Protocol (LDAP) kan worden gebruikt om informatie te verstrekken over gebruikers, groepen, enz. De LDAP-service op dit systeem staat anonieme verbindingen toe. Toegang tot deze informatie door kwaadwillende gebruikers kan hen helpen bij het starten van verdere aanvallen. ...
Questo articolo si applica a
Questo articolo non si applica a
Questo articolo non è legato a un prodotto specifico.
Non tutte le versioni del prodotto sono identificate in questo articolo.
Sintomi
De klant gebruikt een IDPA DP4400-systeem met interne LDAP en ondervindt een anoniem LDAP-beveiligingsprobleem na het uitvoeren van een beveiligingsscan op het IDPA-systeem.
Causa
ACM heeft LDAP Anonymous Directory Access, wat resulteert in kwaadwillende gebruikers die toegang krijgen tot gebruikers, groepen etc.
Risoluzione
OPMERKING: Na het uitschakelen van de LDAP anonieme lookup in ACM, wordt een code-uitzondering geactiveerd in de huidige workflow voor het wijzigen van het ACM-wachtwoord op of vóór IDPA softwareversie 2.7.3. Als na het implementeren van deze beveiligingsoplossing een wachtwoordwijziging vereist is, volgt u KB-000212941 om de LDAP anonieme lookup in ACM opnieuw in te schakelen. Wanneer de wachtwoordwijziging is voltooid, kan de LDAP anonieme lookup opnieuw worden uitgeschakeld.
Gebruik de volgende stappen om LDAP anonieme directorytoegang in Appliance Configuration Manager uit te schakelen.
1. Open SSH op ACM en meld u aan als 'root'-gebruiker.
2. Start LDAP opnieuw op met de volgende opdracht: systemctl restart slapd
3. Maak een ldif-bestand met de volgende opdracht:
vi /etc/openldap/ldap_disable_bind_anon.ldif
Plak de volgende inhoud in het bestand:
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
Voer vervolgens de volgende opdracht uit op ACM:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
Uitvoervoorbeeld
acm-xxxx:~ # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
4. Voer de volgende opdracht uit om te testen of de oplossing is geïmplementeerd:
Voer bij versie 2.6 en hoger de volgende opdracht uit:
ldapsearch -x -b "dc=idpa,dc=local" "*" -h |awk '/dn: / {print $2}'
Voer in versie 2.5 en lager de volgende opdracht uit:
ldapsearch -x -b "dc=idpa,dc=com" "*" -h |awk '/dn: / {print $2}'
Voorbeeldresultaat:
acm-xxxxx:~ # ldapsearch -x -b "dc=idpa,dc=local" "*" -h acm-5800-crk.dp.ce.gslabs.lab.emc.com |awk '/dn: / {print $2}'
ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowedInformazioni aggiuntive
OPMERKING: Er is een probleem gemeld na het volgen van het bovenstaande KB-artikel.
Na het uitschakelen van de LDAP anonieme lookup in ACM, wordt een code-uitzondering geactiveerd in de huidige workflow voor het wijzigen van het ACM-wachtwoord op of vóór IDPA softwareversie 2.7.3. Als wachtwoordwijziging vereist is op het apparaat na het uitschakelen van LDAP anonieme toegang, volgt u artikel 000212941 om de LDAP anonieme lookup in ACM opnieuw in te schakelen. Wanneer de wachtwoordwijziging is voltooid, kan de LDAP anonieme lookup opnieuw worden uitgeschakeld.
Als u een wachtwoordwijziging nodig hebt, volgt u artikel 000212941 om de LDAP anonieme lookup in ACM opnieuw in te schakelen. Wanneer de wachtwoordwijziging is voltooid, kan de LDAP anonieme lookup opnieuw worden uitgeschakeld.
Na het uitschakelen van de LDAP anonieme lookup in ACM, wordt een code-uitzondering geactiveerd in de huidige workflow voor het wijzigen van het ACM-wachtwoord op of vóór IDPA softwareversie 2.7.3. Als wachtwoordwijziging vereist is op het apparaat na het uitschakelen van LDAP anonieme toegang, volgt u artikel 000212941 om de LDAP anonieme lookup in ACM opnieuw in te schakelen. Wanneer de wachtwoordwijziging is voltooid, kan de LDAP anonieme lookup opnieuw worden uitgeschakeld.
Als u een wachtwoordwijziging nodig hebt, volgt u artikel 000212941 om de LDAP anonieme lookup in ACM opnieuw in te schakelen. Wanneer de wachtwoordwijziging is voltooid, kan de LDAP anonieme lookup opnieuw worden uitgeschakeld.
Prodotti interessati
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance SoftwareProdotti
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900Proprietà dell'articolo
Numero articolo: 000196092
Tipo di articolo: Solution
Ultima modifica: 03 mag 2023
Versione: 7
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.