Version 0.42-with-extra-sparkles

Lecture: Æ-DIR

Paranoid user management with OpenLDAP

Ist Identity & Access Management mit Need-To-Know-Prinzip möglich? Ja!

Dieser Vortrag stellt das freie Projekt Æ-DIR vor. Æ-DIR kombiniert feingranulierte Zugriffskontrolle für LDAP-fähige
Systeme mit hohem Schutzbedarf mit konsequenter Delegation, selbst bei direktem LDAP-Zugriff.


Æ-DIR ist ein paranoides Identity & Access Management (IAM) basierend auf
OpenLDAP und diversen Zusatzkomponenten.


Im Gegensatz zu anderen LDAP-Servern muss für an Æ-DIR angeschlossene
Systeme die Sichtbarkeit von Benutzern & Gruppen immer explizit erlaubt
werden. Dies erfolgt rein über Datenpflege in Æ-DIR und erlaubt auch
vollständig voneinander isolierte Bereiche (Zonen) anzulegen und delegiert
zu administrieren.


LDAP-fähige Anwendungen müssen hierfür, auch dank Schemakompabilität
(LDAPv3, RFC 2307 etc.) nicht speziell für Æ-DIR angepasst werden. Vielmehr
wird die Konfiguration der Clients bewusst simpel gehalten.


Die Administration wird auf mehreren Ebenen an kleine Benutzergruppen
delegiert, um zu mächtige Stellvertreter-Rollen zu vermeiden. Dies macht
auch die in der Regel vergleichsweise langsamen Genehmigungsprozesse
überflüssig. Feingranulierte OpenLDAP-ACLs implementieren diese
Delegationsbeziehungen, so dass auch direkte LDAP-Zugriffe zur
Administration mithilfe eigener Skripte erlaubt ist und dabei trotzdem das
Sicherheitsmodell nicht verletzt wird.


Strikte Vorgaben im System z.B. bzgl. ID-Vergabe etc. dienen der
langfristigen Auditierbarkeit und somit als Grundlage für detaillierte
Compliance-Prüfungen, auch mithilfe der bei OpenLDAP verfügbaren
Audit-Datenbank.


Ferner wird die Integration von Zwei-Faktor-Authentifizierung mit OATH-LDAP
und ein sicherer Initialisierungsprozess für die Ausgabe von yubikey-Tokens
vorgestellt. OATH-LDAP bietet die direkte Integration LDAP-fähiger
Anwendungen ohne client-seitige Anpassungen und ist direkt in Æ-DIR
verfügbar.


Eine Vorgängerversion dieses Konzepts wird z.B. in einem Internet-Unternehmen für
administrative Zugriffe auf 15000+ Linux-Server eingesetzt.

Info

Day: 2017-08-19
Start time: 17:45
Duration: 01:00
Room: HS 8
Track: Security
Language: de

Links:

Feedback

Click here to let us know how you liked this event.

Concurrent Events