Https Interface für LDAP-Passworte: Difference between revisions
No edit summary |
No edit summary |
||
Line 62: | Line 62: | ||
[[Image:java_uebersicht.jpg|thumb|200px|Ablaufdiagramm der Änderungssoftware]] |
[[Image:java_uebersicht.jpg|thumb|200px|Ablaufdiagramm der Änderungssoftware]] |
||
Die sich auf dem LDAP-Server befindliche Java-Software horcht auf einen Port und erwartet eingehende SSL-Sockets. Für jeden dieser Sockets liest sie zunächst die drei ankommendenden Datenzeilen, welche als "Benutzername", "altes Passwort", "neues Passwort" interpretiert werden. Anschließend wird überprüft ob die Authentifizierungsdaten korrekt sind. Dafür wird versucht sich an der LDAP Datenbank zu binden. Ist dies erfolgreich gewesen, so wird anschließend der "seminarAdmin" gebunden, der die Änderung an dem Benutzerkonto vornimmt, siehe Abbildung. |
|||
TODO: Passwortänderungssoftware. Ablaufdiagramm. |
TODO: Passwortänderungssoftware. Ablaufdiagramm. |
||
TODO: Sicherheitsdiskussion |
TODO: Sicherheitsdiskussion |
Revision as of 11:43, 25 September 2007
Problemstellung
Die benutzerseitige Authentifizierung gegenüber anderen Diensten erfolgt oft über Passworte. Systeme speichern und übertragen heute keine Passworte im Klartext sondern als Hash. Unsere Aufgabe bestand darin, ein sicheres Web-Interface zu erstellen, welches bei Passwortänderung alle Hashwerte, die für verschiedene Systeme (Windows/Unix) benötigt werden, in eine LDAP-Datenbank einträgt. Das System sollte modular und erweiterbar sein.
Analyse
Im Folgenden werden wir die Problemstellung analysieren, um die Anforderung an unser System genau spezifizieren zu können:
- Szenario - Es existieren Benutzer, welche für verschiedene Systeme angemeldet sind, welche eine Authentifikation benötigen. Die Authentifizierungsdaten bestehen aus einem Benutzernamen und einem Passwort, welche zentral in einem Verwaltungssystem gespeichert werden.
- Verwaltungssystem - Ein Verwaltungssystem speichert die Authentifizierungsdaten. Dazu gehören Benutzername und Passworthashes verschiedener Hashfunktionen. Dies soll eine große Anzahl von unterschiedlichen Systemen ermöglichen, welche unterschiedliche Hashfunktionen benutzen. Hier ist das Verwaltungssystem eine LDAP Datenbank. Es muss beachtet werden, dass die Benutzer nicht das Recht haben, die eigenen Passwörter zu ändern.
- System - Ein System ist ein Dienst oder eine Anwendung, die Authentifizierungsdaten nicht lokal speichert, sondern diese von einem Verwaltungssystem bezieht. Die Systeme haben keine Rechte die Passwörter der Benutzer zu manipulieren, um Konsistenz in den Passworthashes zu gewährleisten. Ein Linuxlogin oder eine SAMBA-Authentifikation sind Beispiele für solche Systeme.
- Webserver - Der Webserver stellt das Formular zur Passwortänderung bereit. Da der Webserver potentiell unsicher ist, dürfen auf dem Webserver keine kritischen Informationen gespeichert werden.
- Benutzer - Die Benutzer des Szenarios melden sich an jedes System mit der gleichen Benutzer/Kennwort-Kombination an.
Annahmen:
- Alle Akteure sind potentielle Angreifer und alle Systeme, sowie der Webserver sind gefährdet.
- Das Verwaltungssystem und somit die LDAP Datenbank ist sicher, was durch logische Positionierung der Geräte in einer Demilitarisierten Zone erreicht werden kann. Diese Annahme muss getroffen werden, da durch ein korrumpiertes Verwaltungssystem keine Datensicherheit für die Benutzer mehr gewährleistet werden kann.
Anforderungen:
- Die Verfügbarkeit des Verwaltungssystems ist für dieses Szenario besonders wichtig, da die Benutzer bei Ausfall dieses Verwaltungssystems keine Arbeit mehr verrichten können. Unsere Anwendung darf die Verfügbarkeit dieses Systems nicht gefährden.
- Die Anwendung (das Formular, sowie die Logik der Passworänderung) muss in dem Sinne sicher sein, dass ein Angreifer durch Abhören beliebiger Datenleitungen nicht in der Lage ist Informationen zu beziehen welcher Benutzer sein Passwort ändert oder welche Passwörter eingegeben wurden.
- Die Webanwendung muss sicher gegen "Man in the middle"-Attacken sein, unter der Annahme, dass der Benutzer vor jeder Passwortänderung ein durch den Browser angezeigtes Zertifikat gründlich prüft.
- Die Webanwendung und jede Logik der Passwortänderung sollte robust gegen "Denial of Service"-Attacken sein. Dies bedeutet, dass sich das System möglichst nicht automatisch ausschaltet im Falle, dass viele Anfragen an den Webserver gestellt werden.
- Die Benutzer und Systeme haben nicht die Möglichkeit das Passwort in dem Verwaltungssystem zu ändern, sondern müssen dies über die Webanwendung tun.
Lösungsansätze
1. TODO: Logik auf dem Webserver -> Nicht mit Anforderung vereinbar, dass Webserver unsicher ist 2. TODO: Unsere Architektur
Architektur
TODO: Bild, -beschreibung TODO: Begriffe: Webserver, LDAP-Server, Passwortänderungssoftware TODO: SeminarAdminBenutzer
Implementierung
LDAP Konfiguration
Für die Lösung dieser Aufgabe haben wir die freie Implementierung OpenLDAP [1] benutzt. Im Folgenden beschreiben wir die Konfiguration der LDAP Datenbank. Dabei zeigen wir, wie die Benutzerkonfiguration vollzogen und wie ein Zertifikat erstellt und installiert werden kann, welches die Webanwendung überprüft, um "Man in the middle"-Attacken vorzubeugen.
Benutzerkonfiguration
Nach Anlegen des "seminarAdmin" (Beispielsweise durch eine graphischen Oberfläche wie phpldapadmin [2]. Diese lässt sich sehr leicht durch "apt-get install phpldapadmin" installieren und muss anschließend nur noch in ein Apache Webordner einhängen. Anschließend müssen wir dem "seminarAdmin" die Rechte geben, alle Passwortfelder zu manipulieren. Die Rechtevergabe findet in der "slapd.conf" statt. Unsere Konfiguration lautet: File:Ldap conf1.jpg
LDAPS
Für die Aktivierung des LDAPS Ports muss zunächst ein Zertifikat erstellt werden. Dabei kann mit Tools wie OpenSSL gearbeitet werden [3]. Um das Zertifikat zu installieren sind verschiedene Änderungen notwendig. Zunächst muss LDAP in der "sldap.conf" erklärt werden wo das Zertifikat zu finden ist. Dafür müssen die Elemente TLSCertificateFile, TLSCertificateKeyFile und TLSCACertificateFile mit dem Pfad zu dem Zertifikat gesetzt werden. In der "ldap.conf" muss dann die Client Authority (mit der das Zertifikat signiert wurde) eingetragen werden (TLS_CACERT) und TLS_REQCERT auf "never" gesetzt werden. Ein Client kann nun durch Einspielen des Serverzertifikats (zum Beispiel in den "/etc/ssl/certs" Ordner) das Zertifikat akzeptieren.
Formular
TODO: Webanwendung (HTTPS), Ablaufdiagramm. TODO: Sicherheitsdiskussion TODO: Codeausschnitt: Konnektieren zur LDAP Datenbank über SSL, Secure Socket aufbauen und kommunizieren)
Passwortänderungssoftware
Die sich auf dem LDAP-Server befindliche Java-Software horcht auf einen Port und erwartet eingehende SSL-Sockets. Für jeden dieser Sockets liest sie zunächst die drei ankommendenden Datenzeilen, welche als "Benutzername", "altes Passwort", "neues Passwort" interpretiert werden. Anschließend wird überprüft ob die Authentifizierungsdaten korrekt sind. Dafür wird versucht sich an der LDAP Datenbank zu binden. Ist dies erfolgreich gewesen, so wird anschließend der "seminarAdmin" gebunden, der die Änderung an dem Benutzerkonto vornimmt, siehe Abbildung.
TODO: Passwortänderungssoftware. Ablaufdiagramm. TODO: Sicherheitsdiskussion TODO: Codesausschnitt