8.3. Désactivation des liens anonymes
Vous pouvez désactiver les liaisons anonymes sur l'instance du serveur d'annuaire Identity Management (IdM) 389 en utilisant les outils LDAP pour réinitialiser l'attribut nsslapd-allow-anonymous-access
.
Ce sont les valeurs valides pour l'attribut nsslapd-allow-anonymous-access
:
-
on
: autorise toutes les liaisons anonymes (par défaut) -
rootdse
: autorise les liens anonymes uniquement pour les informations sur le DSE racine -
off
: interdit les liaisons anonymes
Red Hat ne recommande pas d'interdire complètement les connexions anonymes en définissant l'attribut sur off
, car cela empêche également les clients externes de vérifier la configuration du serveur. Les clients LDAP et Web ne sont pas nécessairement des clients de domaine, ils se connectent donc de manière anonyme pour lire le fichier DSE racine afin d'obtenir des informations de connexion.
En remplaçant la valeur de l'attribut nsslapd-allow-anonymous-access
par rootdse
, vous autorisez l'accès au DSE racine et à la configuration du serveur sans aucun accès aux données du répertoire.
Certains clients s'appuient sur des liaisons anonymes pour découvrir les paramètres IdM. En outre, l'arbre de compatibilité peut s'interrompre pour les anciens clients qui n'utilisent pas l'authentification. N'effectuez cette procédure que si vos clients n'ont pas besoin de liaisons anonymes.
Conditions préalables
- Vous pouvez vous authentifier en tant que gestionnaire de répertoire pour écrire sur le serveur LDAP.
-
Vous pouvez vous authentifier en tant qu'utilisateur
root
pour redémarrer les services IdM.
Procédure
Modifier l'attribut
nsslapd-allow-anonymous-access
enrootdse
.$ ldapmodify -x -D "cn=Directory Manager" -W -h server.example.com -p 389 Enter LDAP Password: dn: cn=config changetype: modify replace: nsslapd-allow-anonymous-access nsslapd-allow-anonymous-access: rootdse modifying entry "cn=config"
Redémarrez l'instance du 389 Directory Server pour charger le nouveau paramètre.
# systemctl restart dirsrv.target
Vérification
Affiche la valeur de l'attribut
nsslapd-allow-anonymous-access
.$ ldapsearch -x -D "cn=Directory Manager" -b cn=config -W -h server.example.com -p 389 nsslapd-allow-anonymous-access | grep nsslapd-allow-anonymous-access Enter LDAP Password: # requesting: nsslapd-allow-anonymous-access nsslapd-allow-anonymous-access: rootdse
Ressources supplémentaires
- nsslapd-allow-anonymous-access dans la documentation de Directory Server 11
- Liaisons LDAP anonymes dans la gestion de l'identité