OpenLDAP 只允許從 ldapi 界面編輯？

我正在努力保護 LDAP 伺服器。我們有一些腳本可以幫助我們管理其中的記錄，並且（從外部）對 slapd 的訪問是通過 ldap(s) 埠 (389/636) 完成的。管理腳本從執行 slapd 的伺服器上的 localhost 執行，並使用 ldapi 進行訪問（如 中所示-Y EXTERNAL -H ldapi:///）。訪問 ldapi 只能從 localhost 打開（使用防火牆）。

我想確保（如果可能的話）通過 ldap 嘗試的任何更改都會失敗，而允許通過 ldapi 進行更改。

有沒有辦法在 slapd config 本身中配置它？

PS：此設置使用新的配置模型（/etc/openldap/slapd.d/...）而不是文件配置。

在預設配置中添加以下 ACL 似乎可以解決問題：

olcAccess: to * 
 by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage

peercred 身份驗證僅在 ldapi 介面上起作用的事實並不明顯，也沒有在文件中的任何地方提及。

這條線是在這裡找到的，並且在 IRC 上也得到了開發人員的確認

引用自：https://serverfault.com/questions/872065