Openldap
禁止使用 cn=config 進行全域匿名綁定
使用 slapd.conf 您可以全域禁用匿名綁定並要求使用以下靜態指令進行身份驗證:
disallow bind_anon require authc
如何實現相同的全域設置,但使用新的 cn=config 實時配置方法?
並不是說 quanta 的 ACL 是一件壞事,而是回答您的問題:
ldapmodify
dn:cn=config
changetype:修改
添加:olcDisallows
olcDisallows:bind_anon
dn: olcDatabase={-1}frontend,cn=config
changetype: 修改
add: olcRequires
olcRequires: authc
請注意,ldapmodify 對(尾隨)空格很敏感,因此直接複製粘貼將不起作用(並且也可能無法正確驗證您的身份)。此外,您使用的 dn 將需要對 cn=config 數據庫的寫入權限。
同一主題的變體,我試過了,有效: SysadminTalk 的 LDAP 安全提示
概括:
1)創建一個文件,我們呼叫它
disable_anon_frontend.ldif
,內容如下:dn: olcDatabase={-1}frontend,cn=config add: olcRequires olcRequires: authc
- 創建另一個文件
disable_anon_backend.ldif
,其內容如下:dn: olcDatabase={1}hdb,cn=config add: olcRequires olcRequires: authc
- 然後在伺服器上,通過發出以下命令修改 LDAP:
sudo ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f disable_anon_frontend.ldif sudo ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f disable_anon_backend.ldif
4)通過執行以下匿名查詢進行檢查:(
ldapsearch -x -LLL -H ldap:/// -b dc=example,dc=domain,dc=com dn
使用dc=...
適用的設置)。如果您看到下面的錯誤消息,則表示已成功禁用匿名訪問:
Server is unwilling to perform (53) Additional information: authentication required
祝你好運!