Zařízení PowerProtect řady DP a IDPA: V nástroji Appliance Configuration Manager je povolen přístup k anonymnímu adresáři LDAP.
Riepilogo: Zákazník nahlásil následující chybu zabezpečení na portu DP4400 se systémem IDPA verze 2.7.1. Protokol LDAP (Lightweight Directory Access Protocol) lze použít k poskytování informací o uživatelích, skupinách atd. Služba LDAP v tomto systému umožňuje anonymní připojení. Přístup uživatelů se zlými úmysly k tomuto problému může pomoci při spouštění dalších útoků. ...
Questo articolo si applica a
Questo articolo non si applica a
Questo articolo non è legato a un prodotto specifico.
Non tutte le versioni del prodotto sono identificate in questo articolo.
Sintomi
Zákazník používá systém IDPA DP4400 s interním protokolem LDAP a po provedení bezpečnostní kontroly v systému IDPA dochází k anonymnímu problému se zabezpečením vazby LDAP.
Causa
Rozhraní ACM má přístup k anonymnímu adresáři LDAP, což vede k tomu, že uživatelé se zlými úmysly mohou získat přístup k uživatelům, skupinám atc.
Risoluzione
POZNÁMKA: Po zakázání anonymního vyhledávání LDAP v rozhraní ACM se v aktuálním pracovním postupu změny hesla ACM u softwaru IDPA verze 2.7.3 nebo starší spustí výjimka kódu. V případě, že je po implementaci tohoto bezpečnostního řešení vyžadována změna hesla, postupujte podle 000212941 databáze znalostí a znovu povolte anonymní vyhledávání LDAP v rozhraní ACM. Po úspěšném dokončení změny hesla lze anonymní vyhledávání LDAP znovu zakázat.
Chcete-li v nástroji Appliance Configuration Manager zakázat anonymní přístup k adresáři LDAP, použijte následující postup.
1. Otevřete V rozhraní ACM protokol SSH a přihlaste se jako uživatel "root".
2. Restartujte protokol LDAP pomocí následujícího příkazu: systemctl restart slapd
3. Vytvořte soubor ldif pomocí následujícího příkazu:
vi /etc/openldap/ldap_disable_bind_anon.ldif
Vložte do souboru následující obsah:
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
Poté v rozhraní ACM spusťte následující příkaz:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
Ukázkový výstup
acm-xxxx:~ # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
4. Spuštěním následujícího příkazu otestujte, zda byla oprava zavedena:
Ve verzích 2.6 a vyšších spusťte následující příkaz:
ldapsearch -x -b "dc=idpa,dc=local" "*" -h |awk '/dn: / {print $2}'
Ve verzích 2.5 a nižších spusťte následující příkaz:
ldapsearch -x -b "dc=idpa,dc=com" "*" -h |awk '/dn: / {print $2}'
Ukázkový výstup:
acm-xxxxx:~ # ldapsearch -x -b "dc=idpa,dc=local" "*" -h acm-5800-crk.dp.ce.gslabs.lab.emc.com |awk '/dn: / {print $2}'
ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowedInformazioni aggiuntive
POZNÁMKA: Po provedení výše uvedené databáze znalostí byl hlášen problém.
Po zakázání anonymního vyhledávání LDAP v rozhraní ACM se v aktuálním pracovním postupu změny hesla ACM u softwaru IDPA verze 2.7.3 nebo starší spustí výjimka kódu. V případě, že je v zařízení vyžadována změna hesla po zakázání anonymního přístupu LDAP, postupujte podle článku 000212941 a znovu povolte anonymní vyhledávání LDAP v rozhraní ACM. Po úspěšném dokončení změny hesla lze anonymní vyhledávání LDAP znovu zakázat.
V případě potřeby změňte heslo podle článku 000212941 znovu povolte anonymní vyhledávání LDAP v rozhraní ACM. Po úspěšném dokončení změny hesla lze anonymní vyhledávání LDAP znovu zakázat.
Po zakázání anonymního vyhledávání LDAP v rozhraní ACM se v aktuálním pracovním postupu změny hesla ACM u softwaru IDPA verze 2.7.3 nebo starší spustí výjimka kódu. V případě, že je v zařízení vyžadována změna hesla po zakázání anonymního přístupu LDAP, postupujte podle článku 000212941 a znovu povolte anonymní vyhledávání LDAP v rozhraní ACM. Po úspěšném dokončení změny hesla lze anonymní vyhledávání LDAP znovu zakázat.
V případě potřeby změňte heslo podle článku 000212941 znovu povolte anonymní vyhledávání LDAP v rozhraní ACM. Po úspěšném dokončení změny hesla lze anonymní vyhledávání LDAP znovu zakázat.
Prodotti interessati
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance SoftwareProdotti
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900Proprietà dell'articolo
Numero articolo: 000196092
Tipo di articolo: Solution
Ultima modifica: 03 mag 2023
Versione: 7
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.