Mac OS X Lion prüft Passwörter bei Authentifizierung via LDAP nicht
Nutzt die neue Mac-OS-X-Version Lion den Verzeichnisdienst LDAP als zentralen Speicher für Nutzerdaten, reicht ein Benutzername zum Login in Mac-Systeme. Unter Umständen kommt aber auch gar keiner mehr rein.
- Daniel Bachfeld
Ein Fehler im Modul zur Authentifizierung via (Open)LDAP führt unter Mac OS X 10.7.x dazu, dass sich zur Anmeldung beliebige Passwörter angeben lassen – es genügt die Angabe eines gültigen Benutzernamens. Betroffen sind sowohl der grafische Login auf Clients als auch die Anmeldung über das Netz per SSH auf Servern.
Standardmäßig nutzt Lion für den Login kein LDAP; die Authentifizierung über Verzeichnisdienste kommt eher in größeren Infrastrukturen für die zentrale Nutzerverwaltung (Name, Passwort, Gruppe, etc) zum Einsatz.
Apple ist über den Fehler informiert und soll ihn nachvollzogen haben, wie Dr. Christian Herzog von der ETH Zürich, die unter anderen von dem Problem betroffen ist, gegenüber heise Security angab. Einige Anwender berichten zudem, dass bei ihnen nach der Umstellung auf Lion, die Authentifizierung mit LDAP gar nicht mehr funktioniert. Die Probleme treten offenbar unabhängig davon auf, ob ein LDAP-Server lokal auf einem System mitläuft oder als separates System.
Ob der Fehler mit einem Security-Update oder einer neuen Lion-Version behoben wird, ist unbekannt. Abhilfe bringt es derzeit nur, die Authentifizierung via LDAP für kritische Dienste zu deaktivieren. (dab)