禁止使用 cn=config 進行全域匿名綁定

使用 slapd.conf 您可以全域禁用匿名綁定並要求使用以下靜態指令進行身份驗證：

disallow bind_anon
require authc

如何實現相同的全域設置，但使用新的 cn=config 實時配置方法？

並不是說 quanta 的 ACL 是一件壞事，而是回答您的問題：

ldapmodify

dn：cn=config

changetype：修改

添加：olcDisallows

olcDisallows：bind_anon

dn: olcDatabase={-1}frontend,cn=config

changetype: 修改

add: olcRequires

olcRequires: authc

請注意，ldapmodify 對（尾隨）空格很敏感，因此直接複製粘貼將不起作用（並且也可能無法正確驗證您的身份）。此外，您使用的 dn 將需要對 cn=config 數據庫的寫入權限。

同一主題的變體，我試過了，有效： SysadminTalk 的 LDAP 安全提示

概括：

1）創建一個文件，我們呼叫它disable_anon_frontend.ldif，內容如下：

dn: olcDatabase={-1}frontend,cn=config
add: olcRequires
olcRequires: authc

2. 創建另一個文件disable_anon_backend.ldif，其內容如下：

dn: olcDatabase={1}hdb,cn=config
add: olcRequires
olcRequires: authc

3. 然後在伺服器上，通過發出以下命令修改 LDAP：

sudo ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f disable_anon_frontend.ldif
sudo ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f disable_anon_backend.ldif

4）通過執行以下匿名查詢進行檢查：（ldapsearch -x -LLL -H ldap:/// -b dc=example,dc=domain,dc=com dn使用dc=...適用的設置）。

如果您看到下面的錯誤消息，則表示已成功禁用匿名訪問：

Server is unwilling to perform (53)
Additional information: authentication required

祝你好運！

引用自：https://serverfault.com/questions/325912