Zařízení PowerProtect řady DP a IDPA: V nástroji Appliance Configuration Manager je povolen přístup k anonymnímu adresáři LDAP.
摘要: Zákazník nahlásil následující chybu zabezpečení na portu DP4400 se systémem IDPA verze 2.7.1. Protokol LDAP (Lightweight Directory Access Protocol) lze použít k poskytování informací o uživatelích, skupinách atd. Služba LDAP v tomto systému umožňuje anonymní připojení. Přístup uživatelů se zlými úmysly k tomuto problému může pomoci při spouštění dalších útoků. ...
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
症状
Zákazník používá systém IDPA DP4400 s interním protokolem LDAP a po provedení bezpečnostní kontroly v systému IDPA dochází k anonymnímu problému se zabezpečením vazby LDAP.
原因
Rozhraní ACM má přístup k anonymnímu adresáři LDAP, což vede k tomu, že uživatelé se zlými úmysly mohou získat přístup k uživatelům, skupinám atc.
解决方案
POZNÁMKA: Po zakázání anonymního vyhledávání LDAP v rozhraní ACM se v aktuálním pracovním postupu změny hesla ACM u softwaru IDPA verze 2.7.3 nebo starší spustí výjimka kódu. V případě, že je po implementaci tohoto bezpečnostního řešení vyžadována změna hesla, postupujte podle 000212941 databáze znalostí a znovu povolte anonymní vyhledávání LDAP v rozhraní ACM. Po úspěšném dokončení změny hesla lze anonymní vyhledávání LDAP znovu zakázat.
Chcete-li v nástroji Appliance Configuration Manager zakázat anonymní přístup k adresáři LDAP, použijte následující postup.
1. Otevřete V rozhraní ACM protokol SSH a přihlaste se jako uživatel "root".
2. Restartujte protokol LDAP pomocí následujícího příkazu: systemctl restart slapd
3. Vytvořte soubor ldif pomocí následujícího příkazu:
vi /etc/openldap/ldap_disable_bind_anon.ldif
Vložte do souboru následující obsah:
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
Poté v rozhraní ACM spusťte následující příkaz:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
Ukázkový výstup
acm-xxxx:~ # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
4. Spuštěním následujícího příkazu otestujte, zda byla oprava zavedena:
Ve verzích 2.6 a vyšších spusťte následující příkaz:
ldapsearch -x -b "dc=idpa,dc=local" "*" -h |awk '/dn: / {print $2}'
Ve verzích 2.5 a nižších spusťte následující příkaz:
ldapsearch -x -b "dc=idpa,dc=com" "*" -h |awk '/dn: / {print $2}'
Ukázkový výstup:
acm-xxxxx:~ # ldapsearch -x -b "dc=idpa,dc=local" "*" -h acm-5800-crk.dp.ce.gslabs.lab.emc.com |awk '/dn: / {print $2}'
ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowed其他信息
POZNÁMKA: Po provedení výše uvedené databáze znalostí byl hlášen problém.
Po zakázání anonymního vyhledávání LDAP v rozhraní ACM se v aktuálním pracovním postupu změny hesla ACM u softwaru IDPA verze 2.7.3 nebo starší spustí výjimka kódu. V případě, že je v zařízení vyžadována změna hesla po zakázání anonymního přístupu LDAP, postupujte podle článku 000212941 a znovu povolte anonymní vyhledávání LDAP v rozhraní ACM. Po úspěšném dokončení změny hesla lze anonymní vyhledávání LDAP znovu zakázat.
V případě potřeby změňte heslo podle článku 000212941 znovu povolte anonymní vyhledávání LDAP v rozhraní ACM. Po úspěšném dokončení změny hesla lze anonymní vyhledávání LDAP znovu zakázat.
Po zakázání anonymního vyhledávání LDAP v rozhraní ACM se v aktuálním pracovním postupu změny hesla ACM u softwaru IDPA verze 2.7.3 nebo starší spustí výjimka kódu. V případě, že je v zařízení vyžadována změna hesla po zakázání anonymního přístupu LDAP, postupujte podle článku 000212941 a znovu povolte anonymní vyhledávání LDAP v rozhraní ACM. Po úspěšném dokončení změny hesla lze anonymní vyhledávání LDAP znovu zakázat.
V případě potřeby změňte heslo podle článku 000212941 znovu povolte anonymní vyhledávání LDAP v rozhraní ACM. Po úspěšném dokončení změny hesla lze anonymní vyhledávání LDAP znovu zakázat.
受影响的产品
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software产品
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900文章属性
文章编号: 000196092
文章类型: Solution
上次修改时间: 03 5月 2023
版本: 7
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。