git.sur5r.net Git - openldap/blob - doc/guide/admin/security.sdf

   1 # Copyright 1999-2001, The OpenLDAP Foundation, All Rights Reserved.
   2 # COPYING RESTRICTIONS APPLY, see COPYRIGHT.
   3
   4 H1: Security Considerations
   5
   6 OpenLDAP Software is designed to run in a wide variety of computing
   7 environments from tightly-controlled closed networks to the global
   8 Internet.  Hence, OpenLDAP Software provides many different security
   9 mechanisms.  This chapter describes these mechanisms and discusses
  10 security considerations for using OpenLDAP Software.
  11
  12 H2: Network Security
  13
  14 H3: Selective Listening
  15
  16 By default, {{slapd}}(8) will listen on both the IPv4 and IPv6 "any"
  17 addresses.  It is often desirable to have {{slapd}} listen on select
  18 address/port pairs.  For example, listening only on the IPv4 address
  19 {{EX:127.0.0.1}} will disallow remote access to the directory server.
  20 E.g.:
  21
  22 >       slapd -h ldap://127.0.0.1
  23
  24 While the server can be configured to listen on a particular interface
  25 address, this doesn't necessarily restrict access to the server to
  26 only those networks accessible via that interface.   To selective
  27 restrict remote access, it is recommend that an IP Firewall be
  28 used to restrict access.
  29
  30 See {{SECT:Command-line Options}} and {{slapd}}(8) for more
  31 information.
  32
  33
  34 H3: IP Firewall
  35
  36 {{TERM:IP}} firewall capabilities of the server system can be used
  37 to restrict access based upon the client's IP address and/or network
  38 interface used to communicate with the client.
  39
  40 Generally, {{slapd}}(8) listens on port 389/tcp for LDAP over {{TERM:TCP}}
  41 (e.g.  ldap://) and port 636/tcp for LDAP over {{TERM:SSL}} (e.g.
  42 ldaps://).
  43
  44 As specifics of how to configure IP firewall are dependent on the
  45 particular kind of IP firewall used, no examples are provided here.
  46 See the document associated with your IP firewall.
  47
  48
  49 H3: TCP Wrappers
  50
  51 OpenLDAP supports {{TERM:TCP}} Wrappers.  TCP Wrappers provide a rule-based
  52 access control system for controlling TCP/IP access to the server.
  53 For example, the {{host_options}}(5) rule:
  54
  55 >       slapd: 10.0.0.0/255.0.0.0 127.0.0.1 : ALLOW
  56 >       slapd: ALL : DENY
  57
  58 allows only incoming connections from the private network {{F:10.0.0.0}}
  59 and localhost ({{F:127.0.0.1}}) to access the directory service.
  60
  61 It is noted that TCP wrappers require the connection to be accepted.
  62 As significant processing is required just to deny a connection,
  63 it is generally advised that IP firewall protection be used instead
  64 of TCP wrappers.
  65
  66 See {{hosts_access}}(5) for more information on TCP wrapper rules.
  67
  68
  69 H2: Integrity and Confidentiality Protection
  70
  71 {{TERM[expand]TLS}} (TLS) can be used to provide integrity and
  72 confidentiality protection.  OpenLDAP supports both StartTLS and
  73 ldaps://.  See the {{SECT:Using TLS}} chapter for more information.
  74
  75 A number of {{TERM[expand]SASL}} (SASL) mechanisms, such as DIGEST-MD5
  76 and {{TERM:GSSAPI}}, provide integrity and confidentiality protection.
  77 See the {{SECT:Using SASL}} chapter for more information.
  78
  79 The server uses {{TERM[expand]Security Strength Factors}} (SSF) to
  80 indicate the relative strength of protection.  A SSF of zero (0)
  81 indicates no protections are in place.  A SSF of one (1) indicates
  82 integrity protection are in place.  A SSF greater than one (>1)
  83 roughly correlates to the effective encryption key length.  For
  84 example, {{TERM:DES}} is 56, {{TERM:3DES}} is 112, and {{TERM:AES}}
  85 is 128.
  86