19.04.2017

Active-Directory-Integration in Password Safe

Der Aufbau einer Organisationsstruktur kann schnell sehr aufwendig werden und ist meist sowieso schon im Active Directory vorhanden. Außerdem gibt es ggf. den Wunsch, entsprechende Komfortfeatures wie Single Sign-on an Password Safe für die Active-Directory-Benutzer bereitzustellen.

Im folgenden Artikel erklären wir die unterschiedlichen Möglichkeiten der Active-Directory-Integration sowie die Implementierung.

Vergleich Ende-zu-Ende-Verschlüsselung (E2EE) und Master-Key-Modus

Grundsätzlich gibt es zwei verschiedene Modi, über die man Organisationseinheiten, Benutzer, Rollen/Gruppen und ggf. die dazugehörigen Gruppenmitgliedschaften importieren bzw. synchronisieren kann.

Im Ende-zu-Ende-Modus erhält man die größtmögliche Sicherheit zu Lasten von einigen Komfortfeatures. Im Master-Key-Modus hat man mehr Möglichkeiten, was aber zu Lasten der Sicherheit geht. Der Unterschied zwischen den beiden Modi liegt im Verhalten beim Import.

Generell werden alle Datensätze (und nichts anderes sind Benutzer, Organisationseinheiten und Rollen/Gruppen aus Sicht der Datenbank) beim Anlegen verschlüsselt. Beim Import über E2EE wird jeder Datensatz mit einem einzelnen Schlüsselpaar verschlüsselt. Im Master-Key-Modus wird am Server ein Master Key generiert, welcher auf alle Benutzer, Organisationseinheiten und Rollen voll berechtigt wird. Dadurch ergibt sich eine eventuelle Angriffsfläche, da mit einem Schlüssel alle Organisationsobjekte entschlüsselbar wären.

Umgekehrt ist aber mit dem Master-Key-Verfahren die Möglichkeit der Anmeldung mit dem Domänenkennwort, eine ständige Synchronisierung sowie die Steuerung der OU- und Rollenzugehörigkeiten über Active Directory möglich.

Ende-zu-Ende-ModusMaster-Key-Modus
Ende-zu-Ende-Verschlüsselung+-
Import von Benutzerinformationen++

Import von Rollenzugehörigkeiten

-+
Import von Zugehörigkeiten zu Organisationseinheiten-+
Synchronisation von Benutzerinformationen-+
Synchronisation von Rollenzugehörigkeiten-+
Synchronisation von Zugehörigkeiten zu Organisationseinheiten
-+
Benutzer kann in Password Safe bearbeitet werden+-
Organisationseinheit kann in Password Safe berabeitet werden+-
Rollen können in Password Safe bearbeitet werden+-
Anmeldung mit Domänenkennwort-+
Passwort kann in Password Safe geändert werden
+-

Das Master-Key-Verfahren ist per se nicht „unsicher“, es ist nur eine Methode, bei der es ein theoretisches Angriffsszenario gäbe, welches mit E2EE gar nicht vorhanden wäre. Die Entscheidung, ob Master-Key- oder E2EE-Verfahren gewählt werden, liegt meist auch eher an den gewünschten Features denn dem möglichen Angriffsszenario. 

Allgemein gilt: Wenn AD-Import ausreicht und die weitere Berechtigung in Password Safe erfolgt (bzw. erfolgen muss), dann ist E2EE das Mittel der Wahl. Wenn eines der anderen Features erforderlich ist, sollte zum Master-Key-Verfahren gegriffen werden.

Zwar sind beide Verfahren theoretisch parallel betreibbar, davon ist aber explizit abzuraten, da dann nicht immer klar ist, wie das jeweilige Objekt importiert wurde, und es sich daher anders verhalten kann.

Konfiguration des AD-Imports

Die Konfiguration des Profils für den AD-Import ist bei beiden Verfahren nahezu identisch.

Beim Master-Key-Verfahren muss noch der Password-Safe-Benutzer hinterlegt werden, welcher Rechte auf die Objekte hat und für den Import verwendet wird.

Über „Import“ können nun über das erstellte Profil die Daten aus dem AD in Password Safe angelegt werden:

Über den nachfolgenden Wizard können die Objekte aus dem Active Directory ausgewählt werden; diese werden abschließend in einer Zusammenfassung angezeigt:

Mit Abschluss des Wizards werden die Objekte in der Datenbank erstellt.

Im E2EE-Modus kann man nun den Rollen die entsprechenden Benutzer zuordnen.

Im Master-Key-Modus ist das AD das führende System, d.h. hier werden die Gruppenzugehörigkeiten durch die Synchronisierung in Password Safe übertragen.

Synchronisierung im Master-Key-Verfahren

Neben der manuellen Synchronisation über den Button in der Ribbon Bar kann die Synchronisierung auch per System Task dauerhaft eingestellt werden.

Die Anlage des System Task ist sehr einfach gehalten:

Neben der Auswahl des AD-Profils muss nur noch ein Zeitplan hinterlegt werden:

Die Einrichtung einer Active-Directory-Anbindung in Password Safe ist grundsätzlich davon abhängig, für welches Verfahren man sich entscheidet. Die Entscheidung sollte vorher gut überlegt und – besser noch – in Testdatenbanken durchgespielt werden, um einen genauen Eindruck der jeweiligen Folgen der unterschiedlichen Mechanismen zu bekommen.

Grundsätzlich ist eine sehr komfortable Lösung für Administratoren und Benutzer zwar wünschenswert, aber gerade beim Thema Passwortmanagement gibt es auch gute Gründe, auf Komfort zu verzichten, um die allgemeine Sicherheit des Systems möglichst hoch zu halten. So kann man in Passwort Safe mit den Passwortrichtlinien sehr genau definieren, was ein Benutzer als Kennwort verwenden kann, um Zugriff auf alle Passwörter zu erhalten.

Außerdem kann es explizit erforderlich sein, dass eine Anmeldung an Password Safe unabhängig von der Domäne erforderlich ist, um hier einem Angreifer eine zusätzliche Hürde zu bieten.

Gerne können wir Sie hierzu beraten. Wenn Sie Fragen zum Thema Passwortmanagement oder Password Safe haben, wenden Sie sich an uns.

Weitere Informationen

Lesen Sie den ersten Teil unserer Blogreihe zum Thema Passwortmanagement mit Password Safe: Passwortmanagement mit Password Safe – die Komponenten

Andreas Faltin

Unsere Blogs