使用 slapd.conf,您可以全局禁用匿名绑定并要求使用以下静态指令进行身份验证:
disallow bind_anon
require authc
如何实现相同的全局设置,但使用新的 cn=config 实时配置方法?
Lar*_*dua 11
相同主题的变体,我试过了,有效: SysadminTalk 的 LDAP 安全提示
概括:
1)创建一个文件,让我们disable_anon_frontend.ldif用以下内容调用它:
dn: olcDatabase={-1}frontend,cn=config
add: olcRequires
olcRequires: authc
2)创建另一个文件disable_anon_backend.ldif,内容如下:
dn: olcDatabase={1}hdb,cn=config
add: olcRequires
olcRequires: authc
3) 然后在服务器上,通过发出以下命令来修改 LDAP:
sudo ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f disable_anon_frontend.ldif
sudo ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f disable_anon_backend.ldif
4) 通过执行以下匿名查询进行检查:(根据情况ldapsearch -x -LLL -H ldap:/// -b dc=example,dc=domain,dc=com dn使用您的dc=...设置)。
如果您看到以下错误消息,则表明已成功禁用匿名访问:
Server is unwilling to perform (53)
Additional information: authentication required
祝你好运!
并不是说 quanta 的 ACL 是坏事,而是要回答您的问题:
ldapmodify
dn:cn=config
changetype:修改
添加:olcDisallows
olcDisallows:bind_anon
-dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
请注意 ldapmodify 对(尾随)空格很敏感,因此直接复制粘贴将不起作用(并且也可能无法正确验证您的身份)。此外,您使用的 dn 将需要对 cn=config db 的写访问权限。
| 归档时间: |
|
| 查看次数: |
18203 次 |
| 最近记录: |