Appliance PowerProtect série DP et IDPA : accès anonyme au répertoire LDAP autorisé sur Appliance Configuration Manager.
Riepilogo: Un client a signalé la faille de sécurité suivante sur son DP4400 exécutant IDPA version 2.7.1. Le protocole LDAP (Lightweight Directory Access Protocol) peut être utilisé pour fournir des informations sur les utilisateurs, les groupes, etc. Le service LDAP sur ce système autorise les connexions anonymes. Si des utilisateurs malveillants ont accès à ces informations, ils peuvent lancer d'autres attaques. ...
Questo articolo si applica a
Questo articolo non si applica a
Questo articolo non è legato a un prodotto specifico.
Non tutte le versioni del prodotto sono identificate in questo articolo.
Sintomi
Le client utilise un système IDPA DP4400 avec LDAP interne et rencontre un problème de sécurité de liaison LDAP anonyme après avoir effectué une analyse de sécurité sur le système IDPA.
Causa
ACM offre un accès anonyme au répertoire LDAP, ce qui permet aux utilisateurs malveillants d'accéder aux utilisateurs, aux groupes, etc.
Risoluzione
Remarque : Après la désactivation de la recherche anonyme LDAP dans ACM, il déclenche une exception de code dans le workflow actuel de modification du mot de passe ACM sur ou avant la version 2.7.3 du logiciel IDPA. Si une modification du mot de passe est requise après la mise en œuvre de cette solution de sécurité, veuillez suivre les 000212941 de la base de connaissances pour réactiver la recherche anonyme LDAP dans ACM. Lorsque la modification du mot de passe est terminée avec succès, la recherche anonyme LDAP peut à nouveau être désactivée.
Suivez les étapes ci-dessous pour désactiver l'accès anonyme au répertoire LDAP dans Appliance Configuration Manager.
1. Ouvrez SSH sur ACM et connectez-vous en tant qu'utilisateur root.
2. Redémarrez LDAP à l'aide de la commande suivante : systemctl restart slapd
3. Créez un fichier ldif à l'aide de la commande suivante :
vi /etc/openldap/ldap_disable_bind_anon.ldif
Collez le contenu suivant dans le fichier:
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
Exécutez ensuite la commande suivante sur ACM:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
Exemple de résultat
acm-xxxx:~ # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
4. Exécutez la commande suivante pour tester le correctif:
sur les versions 2.6 et ultérieures, exécutez la commande suivante:
ldapsearch -x -b "dc=idpa,dc=local" "*" -h |awk '/dn: / {print $2}'
Sur les versions 2.5 et antérieures, exécutez la commande suivante:
ldapsearch -x -b "dc=idpa,dc=com" "*" -h |awk '/dn: / {print $2}'
Exemple de sortie :
acm-xxxxx:~ # ldapsearch -x -b "dc=idpa,dc=local" "*" -h acm-5800-crk.dp.ce.gslabs.lab.emc.com |awk '/dn: / {print $2}'
ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowedInformazioni aggiuntive
Remarque : Un problème a été signalé après avoir suivi l’article de KB ci-dessus.
Après la désactivation de la recherche anonyme LDAP dans ACM, il déclenche une exception de code dans le workflow actuel de modification du mot de passe ACM sur ou avant la version 2.7.3 du logiciel IDPA. Si une modification du mot de passe est requise sur l’appliance après la désactivation de l’accès anonyme LDAP, veuillez suivre l’article 000212941 pour réactiver la recherche anonyme LDAP dans ACM. Lorsque la modification du mot de passe est terminée avec succès, la recherche anonyme LDAP peut à nouveau être désactivée.
Si une modification de mot de passe est requise, veuillez suivre l’article 000212941 pour réactiver la recherche anonyme LDAP dans ACM. Lorsque la modification du mot de passe est terminée avec succès, la recherche anonyme LDAP peut à nouveau être désactivée.
Après la désactivation de la recherche anonyme LDAP dans ACM, il déclenche une exception de code dans le workflow actuel de modification du mot de passe ACM sur ou avant la version 2.7.3 du logiciel IDPA. Si une modification du mot de passe est requise sur l’appliance après la désactivation de l’accès anonyme LDAP, veuillez suivre l’article 000212941 pour réactiver la recherche anonyme LDAP dans ACM. Lorsque la modification du mot de passe est terminée avec succès, la recherche anonyme LDAP peut à nouveau être désactivée.
Si une modification de mot de passe est requise, veuillez suivre l’article 000212941 pour réactiver la recherche anonyme LDAP dans ACM. Lorsque la modification du mot de passe est terminée avec succès, la recherche anonyme LDAP peut à nouveau être désactivée.
Prodotti interessati
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance SoftwareProdotti
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900Proprietà dell'articolo
Numero articolo: 000196092
Tipo di articolo: Solution
Ultima modifica: 03 mag 2023
Versione: 7
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.