Openldap

禁止使用 cn=config 進行全域匿名綁定

  • April 9, 2015

使用 slapd.conf 您可以全域禁用匿名綁定並要求使用以下靜態指令進行身份驗證:

disallow bind_anon
require authc

如何實現相同的全域設置,但使用新的 cn=config 實時配置方法?

並不是說 quanta 的 ACL 是一件壞事,而是回答您的問題:

ldapmodify

dn:cn=config

changetype:修改

添加:olcDisallows

olcDisallows:bind_anon

dn: olcDatabase={-1}frontend,cn=config

changetype: 修改

add: olcRequires

olcRequires: authc

請注意,ldapmodify 對(尾隨)空格很敏感,因此直接複製粘貼將不起作用(並且也可能無法正確驗證您的身份)。此外,您使用的 dn 將需要對 cn=config 數據庫的寫入權限。

同一主題的變體,我試過了,有效: SysadminTalk 的 LDAP 安全提示

概括:

1)創建一個文件,我們呼叫它disable_anon_frontend.ldif,內容如下:

dn: olcDatabase={-1}frontend,cn=config
add: olcRequires
olcRequires: authc
  1. 創建另一個文件disable_anon_backend.ldif,其內容如下:
dn: olcDatabase={1}hdb,cn=config
add: olcRequires
olcRequires: authc
  1. 然後在伺服器上,通過發出以下命令修改 LDAP:
sudo ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f disable_anon_frontend.ldif
sudo ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f disable_anon_backend.ldif

4)通過執行以下匿名查詢進行檢查:(ldapsearch -x -LLL -H ldap:/// -b dc=example,dc=domain,dc=com dn使用dc=...適用的設置)。

如果您看到下面的錯誤消息,則表示已成功禁用匿名訪問:

Server is unwilling to perform (53)
Additional information: authentication required

祝你好運!

引用自:https://serverfault.com/questions/325912