PowerProtect DP Serisi Cihaz ve IDPA: Cihaz Yapılandırma Yöneticisi'nde LDAP Anonim Dizin Erişimine İzin Veriliyor.
摘要: Bir müşteri, IDPA sürüm 2.7.1'i kullandığı DP4400 cihazında aşağıdaki güvenlik açığının bulunduğunu bildirdi. Basit Dizin Erişim Protokolü (LDAP) kullanıcılar, gruplar vb. hakkında bilgi sağlamak için kullanılabilir. Bu sistemdeki LDAP hizmeti anonim bağlantılara olanak tanır. Kötü niyetli kullanıcıların bu bilgilere erişim sağlaması, kötü amaçlı daha fazla saldırı başlatmalarına yardımcı olabilir. ...
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
症状
Müşteri, dahili LDAP'ye sahip bir IDPA DP4400 sistemi kullanıyor ve IDPA sisteminde güvenlik taraması gerçekleştirdikten sonra anonim LDAP bağlama güvenliği sorunuyla karşılaşıyor.
原因
ACM'deki LDAP Anonim Dizin Erişimi özelliği, kötü niyetli kullanıcıların kullanıcılara, gruplara vb. öğelere erişim sağlayabilmesine neden oluyor.
解决方案
NOT: ACM'de LDAP anonim arama devre dışı bırakıldıktan sonra, IDPA yazılım sürümü 2.7.3'te veya daha önceki geçerli ACM parolasını değiştirme iş akışında bir kod istisnası tetikler. Bu güvenlik çözümü uygulanmadan sonra parola değişikliği gerekirse lütfen ACM'de LDAP 000212941 arama özelliğini yeniden etkinleştirmek için KB makalesini izleyin. Parola değişikliği başarıyla tamamlandığında LDAP anonim arama tekrar devre dışı bırakılabilir.
Cihaz Yapılandırma Yöneticisi'nde LDAP Anonim Dizin Erişimi özelliğini devre dışı bırakmak için aşağıdaki adımları izleyin.
1. ACM'de "kök" kullanıcı olarak SSH oturumu açın.
2.Şu komutu kullanarak LDAP'yi yeniden başlatın: systemctl restart slapd
3. Şu komutu kullanarak ldif dosyası oluşturun:
vi /etc/openldap/ldap_disable_bind_anon.ldif
Aşağıdaki içeriği dosyaya yapıştırın:
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
Ardından ACM'de aşağıdaki komutu çalıştırın:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
Örnek Çıktı
acm-xxxx:~ # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
4. Düzeltmenin gerçekleştirildiğini test etmek için aşağıdaki komutu çalıştırın:
2.6 ve üzeri sürümlerde aşağıdaki komutu çalıştırın:
ldapsearch -x -b "dc=idpa,dc=local" "*" -h |awk '/dn: / {print $2}'
2.5 ve sonraki sürümlerde aşağıdaki komutu çalıştırın:
ldapsearch -x -b "dc=idpa,dc=com" "*" -h |awk '/dn: / {print $2}'
Örnek Çıktı:
acm-xxxxx:~ # ldapsearch -x -b "dc=idpa,dc=local" "*" -h acm-5800-crk.dp.ce.gslabs.lab.emc.com |awk '/dn: / {print $2}'
ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowed其他信息
NOT: Yukarıdaki KB'den sonra bir sorun bildirilmiştir.
ACM'de LDAP anonim arama devre dışı bırakıldıktan sonra, IDPA yazılım sürümü 2.7.3'te veya daha önceki geçerli ACM parolasını değiştirme iş akışında bir kod istisnası tetikler. LDAP anonim erişimi devre dışı bırakarak cihaz post'unun parola değişikliğinin gerekli olması durumunda, ACM'de LDAP anonim arama özelliğini yeniden etkinleştirmek için 000212941 makalesini izleyin. Parola değişikliği başarıyla tamamlandığında LDAP anonim arama tekrar devre dışı bırakılabilir.
Parola değişikliği gerekirse lütfen ACM'de LDAP 000212941 arama özelliğini yeniden etkinleştirmek için 000212941 makalesini izleyin. Parola değişikliği başarıyla tamamlandığında LDAP anonim arama tekrar devre dışı bırakılabilir.
ACM'de LDAP anonim arama devre dışı bırakıldıktan sonra, IDPA yazılım sürümü 2.7.3'te veya daha önceki geçerli ACM parolasını değiştirme iş akışında bir kod istisnası tetikler. LDAP anonim erişimi devre dışı bırakarak cihaz post'unun parola değişikliğinin gerekli olması durumunda, ACM'de LDAP anonim arama özelliğini yeniden etkinleştirmek için 000212941 makalesini izleyin. Parola değişikliği başarıyla tamamlandığında LDAP anonim arama tekrar devre dışı bırakılabilir.
Parola değişikliği gerekirse lütfen ACM'de LDAP 000212941 arama özelliğini yeniden etkinleştirmek için 000212941 makalesini izleyin. Parola değişikliği başarıyla tamamlandığında LDAP anonim arama tekrar devre dışı bırakılabilir.
受影响的产品
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software产品
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900文章属性
文章编号: 000196092
文章类型: Solution
上次修改时间: 03 5月 2023
版本: 7
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。