Security

OpenLDAP 只允許從 ldapi 界面編輯?

  • September 12, 2017

我正在努力保護 LDAP 伺服器。我們有一些腳本可以幫助我們管理其中的記錄,並且(從外部)對 slapd 的訪問是通過 ldap(s) 埠 (389/636) 完成的。管理腳本從執行 slapd 的伺服器上的 localhost 執行,並使用 ldapi 進行訪問(如 中所示-Y EXTERNAL -H ldapi:///)。訪問 ldapi 只能從 localhost 打開(使用防火牆)。

我想確保(如果可能的話)通過 ldap 嘗試的任何更改都會失敗,而允許通過 ldapi 進行更改。

有沒有辦法在 slapd config 本身中配置它?

PS:此設置使用新的配置模型(/etc/openldap/slapd.d/...)而不是文件配置。

在預設配置中添加以下 ACL 似乎可以解決問題:

olcAccess: to * 
 by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage

peercred 身份驗證僅在 ldapi 介面上起作用的事實並不明顯,也沒有在文件中的任何地方提及。

這條線是在這裡找到的,並且在 IRC 上也得到了開發人員的確認

引用自:https://serverfault.com/questions/872065