Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

8.3. Désactivation des liens anonymes

download PDF

Vous pouvez désactiver les liaisons anonymes sur l'instance du serveur d'annuaire Identity Management (IdM) 389 en utilisant les outils LDAP pour réinitialiser l'attribut nsslapd-allow-anonymous-access.

Ce sont les valeurs valides pour l'attribut nsslapd-allow-anonymous-access:

  • on: autorise toutes les liaisons anonymes (par défaut)
  • rootdse: autorise les liens anonymes uniquement pour les informations sur le DSE racine
  • off: interdit les liaisons anonymes

Red Hat ne recommande pas d'interdire complètement les connexions anonymes en définissant l'attribut sur off, car cela empêche également les clients externes de vérifier la configuration du serveur. Les clients LDAP et Web ne sont pas nécessairement des clients de domaine, ils se connectent donc de manière anonyme pour lire le fichier DSE racine afin d'obtenir des informations de connexion.

En remplaçant la valeur de l'attribut nsslapd-allow-anonymous-access par rootdse, vous autorisez l'accès au DSE racine et à la configuration du serveur sans aucun accès aux données du répertoire.

Avertissement

Certains clients s'appuient sur des liaisons anonymes pour découvrir les paramètres IdM. En outre, l'arbre de compatibilité peut s'interrompre pour les anciens clients qui n'utilisent pas l'authentification. N'effectuez cette procédure que si vos clients n'ont pas besoin de liaisons anonymes.

Conditions préalables

  • Vous pouvez vous authentifier en tant que gestionnaire de répertoire pour écrire sur le serveur LDAP.
  • Vous pouvez vous authentifier en tant qu'utilisateur root pour redémarrer les services IdM.

Procédure

  1. Modifier l'attribut nsslapd-allow-anonymous-access en rootdse. 

    $ ldapmodify -x -D "cn=Directory Manager" -W -h server.example.com -p 389
Enter LDAP Password:
dn: cn=config
changetype: modify
replace: nsslapd-allow-anonymous-access
nsslapd-allow-anonymous-access: rootdse

modifying entry "cn=config"

  2. Redémarrez l'instance du 389 Directory Server pour charger le nouveau paramètre. 

    # systemctl restart dirsrv.target

Vérification

  • Affiche la valeur de l'attribut nsslapd-allow-anonymous-access. 

    $ ldapsearch -x -D "cn=Directory Manager" -b cn=config -W -h server.example.com  -p 389 nsslapd-allow-anonymous-access | grep nsslapd-allow-anonymous-access
Enter LDAP Password:
# requesting: nsslapd-allow-anonymous-access
nsslapd-allow-anonymous-access: rootdse

Ressources supplémentaires

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.