第 36 章 禁用匿名绑定


访问域资源和运行客户端工具始终需要 Kerberos 身份验证。但是,IdM 服务器使用的后端 LDAP 目录默认允许匿名绑定。这可能会向未授权的用户打开所有域配置,包括用户、计算机、组、服务、网络组和 DNS 配置的信息。
可以使用 LDAP 工具重置 nsslapd-allow-anonymous-access 属性来禁用 389 目录服务器实例的匿名绑定。
警告
某些客户端依赖于匿名绑定来发现 IdM 设置。此外,对于不使用身份验证的传统客户端,compat 树可能会中断。
  1. nsslapd-allow-anonymous-access 属性更改为 rootdse
    $ ldapmodify -x -D "cn=Directory Manager" -W -h server.example.com -p 389 -ZZ
    Enter LDAP Password:
    dn: cn=config
    changetype: modify
    replace: nsslapd-allow-anonymous-access
    nsslapd-allow-anonymous-access: rootdse
    
    modifying entry "cn=config"
    重要
    可以完全允许(on)或完全阻止(关闭)匿名访问。但是,完全阻止匿名访问也会阻止外部客户端检查服务器配置。LDAP 和 Web 客户端不一定是域客户端,因此它们将匿名连接以读取 root DSE 文件来获取连接信息。
    rootdse 允许访问 root DSE 和服务器配置,而无需访问 目录数据。
  2. 重启 389 目录服务器实例以加载新设置。
    # systemctl restart dirsrv.target
其他资源:
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.