36장. 익명 Bind 비활성화
도메인 리소스 액세스 및 클라이언트 툴 실행에는 항상 Kerberos 인증이 필요합니다. 그러나 IdM 서버에서 사용하는 백엔드 LDAP 디렉터리는 기본적으로 익명을 바인딩할 수 있습니다. 이렇게 하면 사용자, 시스템, 그룹, 서비스, 네트그룹 및 DNS 구성에 대한 정보를 포함하여 권한이 없는 사용자에게 모든 도메인 구성이 생성될 수 있습니다.
LDAP 도구를 사용하여
nsslapd-allow-anonymous-access
특성을 재설정하는 방식으로 389 Directory Server 인스턴스에서 익명 바인딩을 비활성화할 수 있습니다.
주의
특정 클라이언트는 익명 바인딩을 사용하여 IdM 설정을 검색합니다. 또한 인증을 사용하지 않는 레거시 클라이언트에 대해 compat 트리가 중단될 수 있습니다.
nsslapd-allow-anonymous-access
특성을 rootdse 로 변경합니다.$ ldapmodify -x -D "cn=Directory Manager" -W -h server.example.com -p 389 -ZZ Enter LDAP Password: dn: cn=config changetype: modify replace: nsslapd-allow-anonymous-access nsslapd-allow-anonymous-access: rootdse modifying entry "cn=config"
중요익명 액세스를 완전히 허용하거나 (on) 완전히 차단(off)할 수 있습니다. 그러나 익명 액세스를 완전히 차단하면 외부 클라이언트가 서버 구성을 확인하지 못합니다. LDAP 및 웹 클라이언트는 반드시 도메인 클라이언트가 아니므로, 연결 정보를 얻기 위해 정기적으로 연결하여 루트 DSE 파일을 읽습니다.rootdse 를 사용하면 디렉터리 데이터에 대한 액세스 권한 없이 루트 DSE 및 서버 구성에 액세스할 수 있습니다.- 389 Directory Server 인스턴스를 다시 시작하여 새 설정을 로드합니다.
# systemctl restart dirsrv.target
추가 리소스:
- Red Hat Directory Server 관리 가이드의 명령줄을 사용하여 항목 관리 섹션.