Yanıtlar:
Bu quanta'nın ACL'leri kötü bir şey değil, sorunuzu cevaplamak için:
ldapmodify
dn: cn = yapılandırma
changetype: değiştir
add: olcDisallows
olcDisallows: bind_anon
-dn: olcDatabase = {- 1} kullanıcı arabirimi, cn = config
changetype
: change add: olcRequires
olcRequires: authc
Lütfen ldapmodify öğesinin (sondaki) boşluklara duyarlı olduğunu unutmayın, bu nedenle düz bir kopyala yapıştırma işe yaramaz (ve doğru bir şekilde doğrulanmayabilir). Ayrıca, kullandığınız dn'nin cn = config db'ye yazma erişimi gerekir.
Aynı tema varyasyon, denedim, çalışıyor: SysadminTalk LDAP güvenlik ipuçları
Özet:
1) Bir dosya oluşturun disable_anon_frontend.ldif, aşağıdaki içerikle diyelim :
dn: olcDatabase={-1}frontend,cn=config
add: olcRequires
olcRequires: authc
2) disable_anon_backend.ldifAşağıdaki içeriğe sahip başka bir dosya oluşturun :
dn: olcDatabase={1}hdb,cn=config
add: olcRequires
olcRequires: authc
3) Daha sonra sunucuda, aşağıdaki komutları vererek LDAP'yi değiştirin:
sudo ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f disable_anon_frontend.ldif
sudo ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f disable_anon_backend.ldif
4) Aşağıdaki anon sorgusunu yürüterek kontrol edin: ldapsearch -x -LLL -H ldap:/// -b dc=example,dc=domain,dc=com dn( dc=...ayarlarınızı uygun şekilde kullanın ).
Aşağıdaki hata mesajını görürseniz, anonim erişim başarıyla devre dışı bırakıldı:
Server is unwilling to perform (53)
Additional information: authentication required
İyi şanslar!
Test etmedim ama böyle bir şey deneyin:
dn: olcDatabase={1}hdb,cn=config
add: olcAccess
olcAccess: to attrs=userPassword
by dn="cn=admin,dc=example,dc=com" write
by self write
by * none
olcAccess: to dn.base=""
by users read
by * none
olcAccess: to *
by dn="cn=admin,dc=example,dc=com" write
by * none