Urządzenia PowerProtect serii DP i IDPA: Anonimowy dostęp do katalogu LDAP jest dozwolony w Appliance Configuration Manager.
摘要: Klient zgłosił następującą lukę w zabezpieczeniach w DP4400 z IDPA w wersji 2.7.1. Protokół LDAP (Lightweight Directory Access Protocol) może służyć do dostarczania informacji o użytkownikach, grupach itp. Usługa LDAP w tym systemie umożliwia połączenia anonimowe. Uzyskanie dostępu do tych informacji przez złośliwych użytkowników może im ułatwić rozpoczęcie dalszych ataków. ...
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
症状
Klient używa systemu IDPA DP4400 z wewnętrznym LDAP i po sprawdzeniu zabezpieczeń systemu IDPA znajduje lukę w zabezpieczeniach związaną z anonimowym wiązaniem LDAP.
原因
ACM ma anonimowy dostęp do katalogu LDAP, dzięki czemu złośliwi użytkownicy mogą uzyskać dostęp do użytkowników, grup itp.
解决方案
UWAGA: Po wyłączeniu wyszukiwania anonimowego LDAP w programie ACM wyzwala on wyjątek kodu w bieżącym przepływie pracy zmieniania haseł ACM w oprogramowaniu IDPA w wersji 2.7.3 lub przed nią. Jeśli po wdrożeniu tego rozwiązania zabezpieczającego wymagana jest zmiana hasła, postępuj zgodnie z 000212941 bazy wiedzy, aby ponownie włączyć wyszukiwanie anonimowe LDAP w ACM. Po pomyślnym zakończeniu zmiany hasła można ponownie wyłączyć wyszukiwanie anonimowe LDAP.
Wykonaj następujące czynności, aby wyłączyć anonimowy dostęp do katalogu LDAP w Appliance Configuration Manager.
1. Otwórz SSH w ACM i zaloguj się jako użytkownik root.
2. Uruchom ponownie LDAP przy użyciu następującego polecenia: systemctl restart slapd
3. Utwórz plik ldif, korzystając z poniższego polecenia:
vi /etc/openldap/ldap_disable_bind_anon.ldif
Wklej w pliku następującą zawartość:
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
Następnie uruchom następujące polecenie w programie ACM:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
Przykładowe dane wyjściowe
acm-xxxx:~ # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
4. Uruchom następujące polecenie, aby przetestować poprawkę:
w wersjach 2.6 i nowszych uruchom następujące polecenie:
ldapsearch -x -b "dc=idpa,dc=local" "*" -h |awk '/dn: / {print $2}'
W wersjach 2.5 i starszych uruchom następujące polecenie:
ldapsearch -x -b "dc=idpa,dc=com" "*" -h |awk '/dn: / {print $2}'
Przykładowe dane wyjściowe:
acm-xxxxx:~ # ldapsearch -x -b "dc=idpa,dc=local" "*" -h acm-5800-crk.dp.ce.gslabs.lab.emc.com |awk '/dn: / {print $2}'
ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowed其他信息
UWAGA: Po wykonaniu powyższej bazy wiedzy zgłoszono problem.
Po wyłączeniu wyszukiwania anonimowego LDAP w programie ACM wyzwala on wyjątek kodu w bieżącym przepływie pracy zmieniania haseł ACM w oprogramowaniu IDPA w wersji 2.7.3 lub przed nią. W przypadku, gdy po wyłączeniu dostępu anonimowego LDAP na urządzeniu wymagana jest zmiana hasła, postępuj zgodnie z artykułem 000212941, aby ponownie włączyć wyszukiwanie anonimowe LDAP w ACM. Po pomyślnym zakończeniu zmiany hasła można ponownie wyłączyć wyszukiwanie anonimowe LDAP.
W przypadku konieczności zmiany hasła należy postępować zgodnie z artykułem 000212941, aby ponownie włączyć wyszukiwanie anonimowe LDAP w ACM. Po pomyślnym zakończeniu zmiany hasła można ponownie wyłączyć wyszukiwanie anonimowe LDAP.
Po wyłączeniu wyszukiwania anonimowego LDAP w programie ACM wyzwala on wyjątek kodu w bieżącym przepływie pracy zmieniania haseł ACM w oprogramowaniu IDPA w wersji 2.7.3 lub przed nią. W przypadku, gdy po wyłączeniu dostępu anonimowego LDAP na urządzeniu wymagana jest zmiana hasła, postępuj zgodnie z artykułem 000212941, aby ponownie włączyć wyszukiwanie anonimowe LDAP w ACM. Po pomyślnym zakończeniu zmiany hasła można ponownie wyłączyć wyszukiwanie anonimowe LDAP.
W przypadku konieczności zmiany hasła należy postępować zgodnie z artykułem 000212941, aby ponownie włączyć wyszukiwanie anonimowe LDAP w ACM. Po pomyślnym zakończeniu zmiany hasła można ponownie wyłączyć wyszukiwanie anonimowe LDAP.
受影响的产品
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software产品
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900文章属性
文章编号: 000196092
文章类型: Solution
上次修改时间: 03 5月 2023
版本: 7
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。