111.3. 익명 바인딩 비활성화
LDAP 툴을 사용하여 nsslapd-anonymous-access 속성을 재설정하여 IdM(Identity Management) 389 Directory Server 인스턴스에서 익명
바인딩을 비활성화할 수 있습니다.
nsslapd-allow-anonymous-access
속성에 유효한 값입니다.
-
On
: 모든 익명 바인딩(기본값)을 허용합니다. -
RootD
SE : root
DSE 정보에 대해서만 익명 바인딩 가능 -
off
: 익명 바인딩은 허용하지 않습니다.
Red Hat은 특성을 끄
도록 설정하여 익명 바인딩을 완전히 허용하지 않는 것이 좋습니다. 외부 클라이언트도 서버 구성을 확인하지 못하기 때문입니다. LDAP 및 웹 클라이언트는 반드시 도메인 클라이언트가 아니므로 익명으로 연결하여 연결 정보를 얻기 위해 루트 DSE 파일을 읽습니다.
nsslapd-allow-anonymous-access
속성의 값을 rootdse
로 변경하면 디렉토리 데이터에 대한 액세스 권한 없이 루트 DSE 및 서버 구성에 액세스할 수 있습니다.
특정 클라이언트는 anonymous 바인딩을 사용하여 IdM 설정을 검색합니다. 또한 트리는 인증을 사용하지 않는 레거시 클라이언트의 경우 손상될 수 있습니다. 클라이언트에 익명 바인딩이 필요하지 않은 경우에만 이 절차를 수행합니다.
사전 요구 사항
- LDAP 서버에 쓸 Directory Manager로 인증할 수 있습니다.
-
root
사용자로 인증하여 IdM 서비스를 다시 시작할 수 있습니다.
절차
nsslapd-allow-anonymous-access
속성을rootdse
로 변경합니다.$ ldapmodify -x -D "cn=Directory Manager" -W -h server.example.com -p 389 Enter LDAP Password: dn: cn=config changetype: modify replace: nsslapd-allow-anonymous-access nsslapd-allow-anonymous-access: rootdse modifying entry "cn=config"
389 Directory Server 인스턴스를 다시 시작하여 새 설정을 로드합니다.
# systemctl restart dirsrv.target
검증
nsslapd-allow-anonymous-access
속성의 값을 표시합니다.$ ldapsearch -x -D "cn=Directory Manager" -b cn=config -W -h server.example.com -p 389 nsslapd-allow-anonymous-access | grep nsslapd-allow-anonymous-access Enter LDAP Password: # requesting: nsslapd-allow-anonymous-access nsslapd-allow-anonymous-access: rootdse
추가 리소스
- 디렉터리 서버 11 문서의 nsslapd-allow-anonymous-access
- Identity Management에서 익명 LDAP 바인딩