Empfehlungen

  • Installieren Sie die Kennwortsynchronisierung auf geeigneten Domänencontrollern. Um eine konsistente Synchronisierung von Domänenkennwörtern mit UNIX-Kennwörtern sicherzustellen, muss die Kennwortsynchronisierung auf dem primären Domänencontroller und bei einer Windows 2000-Domäne auch auf allen Domänencontrollern in einer Domäne installiert werden.

    • Wenn Sie einer Domäne einen Domänencontroller hinzufügen, sollten Sie die Kennwortsynchronisierung auf dem neuen Domänencontroller so bald wie möglich installieren und entsprechend der anderen Domänencontroller konfigurieren.

    • Wenn Sie die Kennwortsynchronisierung von einem Domänencontroller entfernen müssen, sollten Sie vor der Deinstallation der Kennwortsynchronisierung den Server zunächst zu einem Mitgliedsserver herabstufen.

  • Verwenden Sie konsistente Kennwortrichtlinien. Wenn Sie nur die unidirektionale Kennwortsynchronisierung bereitstellen, müssen Sie sicherstellen, dass die Kennwortrichtlinie auf dem Computer, von dem aus die Kennwortsynchronisierung erfolgt, mindestens so restriktiv ist wie die Richtlinie auf dem Computer, mit dem die Kennwörter synchronisiert werden. Wenn Sie z. B. die Windows-zu-UNIX-Synchronisierung konfigurieren, muss die Windows-Kennwortrichtlinie mindestens so restriktiv sein wie die Richtlinie auf den UNIX-Computern, mit denen die Kennwörter synchronisiert werden. Wenn die bidirektionale Synchronisierung unterstützt werden soll, müssen die Kennwortrichtlinien auf beiden Systemen gleichermaßen restriktiv sein. Nicht konsistente Kennwortrichtlinien können zu Synchronisierungsfehlern führen, wenn ein Benutzer ein Kennwort auf dem weniger restriktiven System ändert. Oder das Kennwort wird möglicherweise auf dem stärker restriktiven System geändert, obwohl es nicht den Systemrichtlinien entspricht.

    Stellen Sie auch sicher, dass Windows-Benutzer ggf. spezielle Kennworteinschränkungen auf den UNIX-Systemen kennen, mit denen ihre Kennwörter synchronisiert werden. Bestimmte UNIX-Versionen unterstützen z. B. eine maximale Kennwortlänge von acht Zeichen. Um die maximale Kompatibilität zwischen der Standardkennwortrichtlinie für Windows und diesen UNIX-Einschränkungen zu erreichen, sollten Kennwörter nur sieben oder acht Zeichen enthalten, es sei denn, Sie sind sich sicher, dass sämtliche UNIX-Systeme längere Kennwörter unterstützen.

  • Konfigurieren Sie die Kennwortsynchronisierung für maximalen Schutz der Benutzerkennwörter.

    Für die optimale Sicherheit sollten Sie folgende Empfehlungen beachten:

    • Listen Sie die Benutzer, deren Kennwörter synchronisiert werden sollen, explizit auf. Um eine maximale Kontrolle über die zum Synchronisieren von Kennwörtern berechtigten Benutzer zu gewährleisten, sollte das ALL-Schlüsselwort nicht zusammen mit der SYNC_USERS-Liste in der Datei sso.conf auf dem UNIX-Host verwendet werden. Stattdessen sollten Sie jeden Benutzer, für den die Kennwortsynchronisierung zugelassen oder gesperrt wird, explizit auflisten. Erstellen Sie auf dem Windows-basierten Computer, auf dem die Kennwortsynchronisierung ausgeführt wird, die Gruppe PasswordPropAllow, und fügen Sie die Konten der Benutzer hinzu, deren Kennwörter synchronisiert werden sollen. Weitere Informationen finden Sie unter Steuern der Kennwortsynchronisierung für Benutzerkonten.

    • Führen Sie keine Kennwortsynchronisierung für deaktivierte UNIX-Konten durch. Bei bestimmten UNIX-Versionen wird ein deaktiviertes Benutzerkonto durch eine Änderung seines Kennworts aktiviert. Wenn ein Benutzer also über ein deaktiviertes Konto auf einem UNIX-Computer verfügt, das für die Kennwortsynchronisierung mit einem Windows-basierten Computer konfiguriert ist, kann dieses UNIX-Konto durch den Benutzer oder einen Administrator aktiviert werden, indem das Windows-Benutzerkennwort geändert wird. Um dies zu verhindern, sperren Sie mithilfe der Gruppe PasswordPropDeny die Synchronisierung für deaktivierte UNIX-Konten.

      Wenn ein Administrator ein UNIX-Konto deaktiviert, sollte der Administrator den Eintrag SYNC_USERS in der Datei sso.conf verwenden, um die Kennwortsynchronisierung für das Konto zu sperren.

    • Vermeiden Sie das Synchronisieren von Administratorkennwörtern. Führen Sie keine Kennwortsynchronisierung für Mitglieder der Windows-Gruppe Administratoren, für Kennwörter von UNIX-Hauptbenutzern (Superuser) oder für Kennwörter von Stammkonten aus.

    • Führen Sie die Kompatibilitätsprüfung von Windows Server 2003 Service Pack 1 (SP1) aus, wenn Sie die Option Windows nach NIS (Active Directory)-Kennwortsynchronisierung auf der Registerkarte Konfiguration des Dialogfelds Eigenschaften von Kennwortsynchronisierung aktivieren. Zum Schutz der Sicherheit der Benutzerkontokennwörter in Ihrem Unternehmen, sollte die Kennwortsynchronisierung zur Identifizierung aller Domänencontroller in der Gesamtstruktur konfiguriert werden, die nicht Windows Server 2003 SP1 oder höher ausführen.

      Die Kennwortsynchronisierung fordert Sie auf, die Kompatibilitätsprüfung zuzulassen, wenn Sie im Bereich Windows nach NIS (Active Directory)-Kennwortsynchronisierung die Option Aktivieren auswählen. Durch die Installation von Windows Server 2003 SP1 oder einer höheren Version auf allen Domänencontrollern in einer Gesamtstruktur wird das Risiko, dass Benutzerkennworthashes für nicht autorisierte Benutzer offen gelegt werden, weitgehend reduziert. Wenn nicht alle Domänencontroller in einer Gesamtstruktur über Windows Server 2003 SP1 als Mindestfunktionsebene verfügen, kann jeder authentifizierte Benutzer in der Domäne die Kennworthashes für alle UNIX-Benutzer anzeigen, deren Konto zu Active Directory-Domänendienste (AD DS) migriert wurde.

      Wenn ein nicht autorisierter Benutzer den Kennworthash für ein UNIX-basiertes Benutzerkonto in AD DS aufdeckt, ist das Windows-basierte Kennwort für das Konto nicht mehr sicher.

Bei der Installation der Kennwortsynchronisierung werden Mitglieder der lokalen Gruppe Administratoren und der Gruppe Domänenadministratoren der Gruppe PasswordPropDeny hinzugefügt. Dadurch wird verhindert, dass die Kennwörter dieser Benutzer synchronisiert werden. Wenn Sie einen Benutzer der Gruppe Administratoren oder der Gruppe Domänenadministratoren hinzufügen, müssen Sie diesen Benutzer auch der Gruppe PasswordPropDeny hinzufügen.

Ändern Sie die SYNC_USERS-Anweisung in der Datei sso.conf auf allen UNIX-basierten Systemen, um zu verhindern, dass die Kennwörter von Hauptbenutzern synchronisiert werden.

  • Verwenden Sie weder die Standardportnummer noch den Standardverschlüsselungsschlüssel. Wenn Sie die Standardportnummer und den Standardverschlüsselungsschlüssel beibehalten, kann ein Angreifer einen gefälschten UNIX-Host einrichten, um Kennwörter abzufangen. Sie sollten die Portnummer und die Verschlüsselungsschlüssel, die zum Synchronisieren von Kennwörtern verwendet werden, genauso sorgfältig schützen wie die Kennwörter selbst.

  • Sichern sie die Datei "sso.conf". Die auf jedem UNIX-Host vorhandene Datei sso.conf enthält wichtige Konfigurationsinformationen, die zum Beeinträchtigen der Sicherheit missbraucht werden können. Es wird empfohlen, die Modusbitmaske der Datei auf 600 festzulegen.

  • Stellen Sie sicher, dass das durch "TEMP_FILE_PATH" identifizierte Verzeichnis ordnungsgemäß geschützt ist. Die von der Kennwortsynchronisierung auf den UNIX-Hosts erstellten temporären Dateien enthalten Informationen, die ein Angreifer zum Beeinträchtigen der Systemsicherheit verwenden kann. Aus diesem Grund sollten Sie sicherstellen, dass alle Verzeichnisse, auf die über den Eintrag TEMP_FILE_PATH in der Datei sso.conf verwiesen wird, nur für das Konto root über Lesezugriff verfügen und dass keine anderen Benutzer auf diese Verzeichnisse zugreifen können.

  • Stellen Sie sicher, dass die Protokolldateien entsprechend geschützt sind. Auf dem UNIX-Host verwendet die Kennwortsynchronisierung den syslogd-Daemon zum Protokollieren von Meldungen, die als Ergebnis von Synchronisierungsvorgängen auftreten. Diese Protokolle enthalten z. B. die Namen von Benutzern, deren Kennwörter synchronisiert werden, Angaben dazu, mit welchen Computern die Synchronisierung erfolgt, Propagierungsfehler usw. Diese Protokolldateien müssen geschützt werden, um sicherzustellen, dass sie nur von Administratoren angezeigt werden können.

  • Starten Sie den Daemon für die Kennwortsynchronisierung nach dem Ändern der Konfiguration neu. Wenn Sie Änderungen an der Konfigurationsdatei des Daemons für die Kennwortsynchronisierung (sso.conf) vornehmen, müssen Sie den Daemon beenden und dann neu starten, damit die Konfigurationsänderungen wirksam werden.

  • Konfigurieren Sie die Systeme zur korrekten Handhabung der Groß- und Kleinschreibung von Benutzernamen. Vergewissern Sie sich, dass die Option CASE_IGNORE_NAME in der Datei sso.conf auf 1 festgelegt ist (Standardeinstellung). Dies ist jedoch nicht erforderlich, wenn Sie die Durchsetzung einer Richtlinie erzwingen, über die sichergestellt wird, dass die Windows- und UNIX-Benutzernamen in Bezug auf Rechtschreibung und Groß-/Kleinschreibung übereinstimmen. Bei UNIX-Benutzernamen muss die Groß- und Kleinschreibung beachtet werden. Daher werden Kennwörter möglicherweise nicht ordnungsgemäß synchronisiert, wenn die Benutzernamen nicht genau übereinstimmen, da in diesem Fall der Daemon für die Kennwortsynchronisierung nicht in der Lage ist, den Windows-Benutzernamen dem entsprechenden UNIX-Benutzernamen zuzuordnen.

  • Stellen Sie die Konsistenz zwischen Typ und Name der Kennwortdatei sicher. Vergewissern Sie sich beim Konfigurieren des Daemons für die Kennwortsynchronisierung, dass sich der Typ der Kennwortdatei (angegeben durch USE_SHADOW) und der Pfadname (festgelegt durch FILE_PATH) entsprechen. Bei den meisten Systemen gilt z. B., dass wenn USE_SHADOW auf 0 festgelegt ist (um anzugeben, dass die Kennwortdatei passwd für die Synchronisierung verwendet wird), die Option FILE_PATH auf /etc/passwd festgelegt werden sollte. Wenn jedoch USE_SHADOW auf 1 festgelegt ist (um anzugeben, dass stattdessen die Schattendatei verwendet wird), sollte die Option FILE_PATH auf /etc/shadow festgelegt werden. (Bei IBM AIX-Systemen lauten Pfad und Name der Schattendatei /etc/security/passwd.)