作者 主題: 如何關閉 anonymous 存取 LDAP 名單?  (閱讀 1143 次)

0 會員 與 1 訪客 正在閱讀本文。

sclin2k

  • 懷疑的國中生
  • **
  • 文章數: 73
    • 檢視個人資料
如何關閉 anonymous 存取 LDAP 名單?
« 於: 2015-04-22 16:45 »
slapd.conf 的存取權限如下,這樣的設定無法阻擋未認證的使用者存取 LDAP 名單嗎?

access to attrs=userPassword
       by self write
       by anonymous auth
       by dn.base="cn=root,dc=ldap,dc=xxxx,dc=com,dc=tw" write
       by * none

access to *
       by self write
       by users read
       by anonymous none
       by dn.base="cn=root,dc=ldap,dc=xxxx,dc=com,dc=tw" write
       by * none

我的測試方式是利用 outlook 裡面的通訊錄,在裡設定好 LDAP 連結,但未勾選設定<此伺服器需要我登入>,另在<其他設定、搜尋、自訂>輸入 dc=xxxx,dc=com,dc=tw。

這樣還是可以搜尋 LDAP 名單,是我的測試方式錯誤嗎?

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17383
    • 檢視個人資料
    • http://www.study-area.org
Re: 如何關閉 anonymous 存取 LDAP 名單?
« 回覆 #1 於: 2015-04-24 09:44 »
把 anonymous 放前面呢?

sclin2k

  • 懷疑的國中生
  • **
  • 文章數: 73
    • 檢視個人資料
Re: 如何關閉 anonymous 存取 LDAP 名單?
« 回覆 #2 於: 2015-04-24 10:56 »
放到最前面也擋不了,這次我還從另一台Linux用 ldapsearch -h 192.168.1.254 -x -b "ou=people,ou=test,dc=xxxxx,dc=com,dc=tw" sn=*
整個名單都抓到了 ???

把 anonymous 放前面呢?

dark

  • 俺是博士!
  • *****
  • 文章數: 1546
    • 檢視個人資料
Re: 如何關閉 anonymous 存取 LDAP 名單?
« 回覆 #3 於: 2015-04-25 17:37 »
印象中 ...

ldap 的 root 下還分 "帳號" , "通訊錄" 這兩大支線 , 控制權限是不同的

通訊錄小弟是直接關閉

而帳號支線
三項交握後第一個要求封包也是只帶 root 資訊
... 記得 server 也會回應一些架構資訊

而第二個封包 "以後" , 若問到有權限的問題
詢問封包才有帶帳密 , 回應也這時才根據各帳號權限回應
當有群族問題 , 還會多跳一個 session 帶帳密的封包詢問