8.3. 匿名バインドの無効化
LDAP ツールを使用して nsslapd-allow-anonymous-access
属性をリセットすることで、Identity Management (IdM) 389 Directory Server インスタンスで匿名バインドを無効にできます。
以下は nsslapd-allow-anonymous-access
属性の有効な値です。
-
on
: すべての匿名バインドを許可します (デフォルト)。 -
Rootdse
: root の DSE 情報についてのみ匿名バインドを許可します。 -
off
: 匿名バインドを拒否します。
Red Hat では、属性を off
に設定して匿名バインドを完全に拒否すると、外部クライアントによるサーバー設定のチェックもブロックするため、この設定は推奨していません。LDAP および web クライアントはドメインクライアントに限られるわけではないため、こうしたクライアントは匿名で接続を行ってルートの DSE ファイルを読み取り接続情報を取得します。
nsslapd-allow-anonymous-access
属性の値を rootdse
に変更すると、ディレクトリーデータにアクセスせずにルート DSE およびサーバー設定へのアクセスを許可します。
特定のクライアントは、匿名バインドを使用して IdM 設定を検出します。また、compat ツリーは、認証を使用していない従来のクライアントでは機能しない可能性があります。この手順は、クライアントが匿名バインドを必要としない場合にのみ実行します。
前提条件
- Directory Manager として認証して LDAP サーバーに書き込むことができる。
-
root
ユーザーとして認証して IdM サービスを再起動できる。
手順
nsslapd-allow-anonymous-access
属性をrootdse
に変更します。$ ldapmodify -x -D "cn=Directory Manager" -W -h server.example.com -p 389 Enter LDAP Password: dn: cn=config changetype: modify replace: nsslapd-allow-anonymous-access nsslapd-allow-anonymous-access: rootdse modifying entry "cn=config"
389 Directory Server インスタンスを再起動して、新しい設定を読み込みます。
# systemctl restart dirsrv.target
検証
nsslapd-allow-anonymous-access
属性の値を表示します。$ ldapsearch -x -D "cn=Directory Manager" -b cn=config -W -h server.example.com -p 389 nsslapd-allow-anonymous-access | grep nsslapd-allow-anonymous-access Enter LDAP Password: # requesting: nsslapd-allow-anonymous-access nsslapd-allow-anonymous-access: rootdse
関連情報
- Directory Server 11 ドキュメントの nsslapd-allow-anonymous-access
- Identity Management の匿名 LDAP バインド