第 36 章 禁用匿名绑定
访问域资源和运行客户端工具始终需要 Kerberos 身份验证。但是,IdM 服务器使用的后端 LDAP 目录默认允许匿名绑定。这可能会向未授权的用户打开所有域配置,包括用户、计算机、组、服务、网络组和 DNS 配置的信息。
可以使用 LDAP 工具重置
nsslapd-allow-anonymous-access
属性来禁用 389 目录服务器实例的匿名绑定。
警告
某些客户端依赖于匿名绑定来发现 IdM 设置。此外,对于不使用身份验证的传统客户端,compat 树可能会中断。
- 将
nsslapd-allow-anonymous-access
属性更改为 rootdse。$ ldapmodify -x -D "cn=Directory Manager" -W -h server.example.com -p 389 -ZZ Enter LDAP Password: dn: cn=config changetype: modify replace: nsslapd-allow-anonymous-access nsslapd-allow-anonymous-access: rootdse modifying entry "cn=config"
重要可以完全允许(on)或完全阻止(关闭)匿名访问。但是,完全阻止匿名访问也会阻止外部客户端检查服务器配置。LDAP 和 Web 客户端不一定是域客户端,因此它们将匿名连接以读取 root DSE 文件来获取连接信息。rootdse 允许访问 root DSE 和服务器配置,而无需访问 目录数据。 - 重启 389 目录服务器实例以加载新设置。
# systemctl restart dirsrv.target
其他资源:
- Red Hat Directory Server Administration Guide 中的 使用命令行管理条目。