禁止使用cn = config进行全局匿名绑定

9

使用slapd.conf,您可以全局禁用匿名绑定并要求使用以下静态指令进行身份验证:

disallow bind_anon
require authc

如何使用新的cn = config实时配置方法实现相同的全局设置?

openldap 
迈克尔·P
source

Answers:

5

并不是说Quanta的ACL是一件坏事,而是要回答您的问题:

的ldapmodify
DN:CN =配置
一changeType:修改
地址:olcDisallows
olcDisallows:bind_anon
-

dn:olcDatabase = {-1} frontend,cn = config
更改类型:修改
添加:olcRequires
olcRequires:authc

请注意,ldapmodify对(尾随)空格敏感,因此直接复制粘贴将不起作用(也可能无法正确验证您的身份)。另外,您使用的dn将需要对cn = config数据库的写权限。

84104
source
11

我尝试了相同主题的变体,但可以正常工作: SysadminTalk上的LDAP安全提示

摘要:

1)创建一个文件,我们将其命名disable_anon_frontend.ldif为以下内容:

dn: olcDatabase={-1}frontend,cn=config
add: olcRequires
olcRequires: authc

2)创建另一个disable_anon_backend.ldif具有以下内容的文件:

dn: olcDatabase={1}hdb,cn=config
add: olcRequires
olcRequires: authc

3)然后在服务器上,通过发出以下命令来修改LDAP:

sudo ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f disable_anon_frontend.ldif
sudo ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f disable_anon_backend.ldif

4)通过执行以下匿名查询进行检查:(ldapsearch -x -LLL -H ldap:/// -b dc=example,dc=domain,dc=com dn使用您的dc=...设置(如适用))。

如果您看到以下错误消息,则说明匿名访问已成功禁用:

Server is unwilling to perform (53)
Additional information: authentication required

祝好运!

Laryx Decidua
source
2
欢迎来到服务器故障!尽管从理论上讲这可以回答问题,但最好在此处包括答案的基本部分,并提供链接以供参考。
HopelessN00b 2013年
2
谢谢,您绝对正确,我已按照建议编辑了答案。
Laryx Decidua
1

我还没有测试过,但是尝试这样的事情:

dn: olcDatabase={1}hdb,cn=config
add: olcAccess
olcAccess: to attrs=userPassword 
    by dn="cn=admin,dc=example,dc=com" write 
    by self write 
    by * none
olcAccess: to dn.base="" 
    by users read 
    by * none
olcAccess: to * 
    by dn="cn=admin,dc=example,dc=com" write 
    by * none
量子
source
谢谢,这是我当前在每个数据库中执行的操作。但是,我的问题是如何在全球范围内做到这一点。
Michael P
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.