Redhat
使用者在 RHEL 預設行為上看到所有其他 LDAP 使用者?
我們正在使用具有 Solaris 和 RHEL 伺服器的 LDAP 伺服器,併計劃將更多伺服器遷移到 RHEL。但是,我們在所有 Red Hat 伺服器上都存在 LDAP 問題。當我們鍵入“getent passwd”時,會顯示整個 LDAP 伺服器上的所有使用者,而不僅僅是有權訪問此伺服器的使用者。通常大約有 10 到 50 人可以訪問伺服器,因此 Solaris 會列印出這個使用者列表,而 Red Hat 會列印出 LDAP 中存在的所有使用者的列表(大約 650 個)。
我們在 RHEL 6.2 上使用 nscd/nslcd。遷移到 sssd 並不是短期的解決方案,儘管我們正在考慮在未來這樣做。
我發現這可以通過使用 compat 作為 /etc/nsswitch.conf 的源來更改,它會列舉,因此您只能在 /etc/passwd 中看到有權訪問 +netgroup 的使用者。
- Red Hat Linux 伺服器上的正常行為是什麼?
- 使用者能夠看到所有其他使用者是否存在安全風險?
- 您是否建議在 /etc/nsswitch.conf 中使用 compat 作為解決方案?
nsswitch 是正確的,不要改變它!它沒有任何過濾功能,所以如果它輸出 ldap 使用者,它的設置正確。
問題是 /etc/ldap.conf 中的 ldap 過濾器。在 solaris 上過濾使用者並只允許匹配過濾器的使用者,在 RHEL 上您可能沒有使用任何過濾器,因此允許所有使用者。
檢查 pam_filter 選項。如果你太空,你可以使用這個 ldap.conf範例作為基礎