主页
产品
Red Hat Directory Server
13
安全性和访问控制
1.13. 在 Directory Manager 帐户上设置访问控制

1.13. 在 Directory Manager 帐户上设置访问控制

从维护角度而言，拥有不受限制的管理用户有意义。目录管理器需要高级别的访问权限才能执行维护任务并响应事件。

但是，由于 Directory Manager 用户的强大功能，建议一定程度的访问控制，以防止以管理用户身份执行攻击。

1.13.1. 关于 Directory Manager 帐户上的访问控制
复制链接

目录服务器仅对目录树应用常规访问控制指令。Directory Manager 帐户的特权被硬编码，您无法在绑定规则中使用这个帐户。要限制对 Directory Manager 帐户的访问，请使用 RootDN Access Control 插件。

此插件的功能与标准访问控制指令(ACI)不同。例如，某些信息（如目标（目录管理器条目）和允许的权限（全部）都表示。RootDN Access Control 插件的目的是，通过限制谁可以根据其位置或时间以 Directory Manager 身份登录来提供安全级别，而不限制此用户可以做什么。

因此，插件的设置只支持：

基于时间的访问控制，允许或拒绝特定天数和特定时间范围的访问
IP 地址规则，允许或拒绝从定义的 IP 地址、子网和域的访问
主机访问规则，用于允许或拒绝对特定主机、域和子域的访问

您只能为目录管理器设置了一个访问控制规则。它位于插件条目中，它适用于整个目录。

与常规 ACI 一样，拒绝规则的优先级高于 allow 规则。

重要

确保 Directory Manager 帐户具有适当的访问权限级别。此管理用户可能需要在非小时内或响应故障时执行维护操作。在这种情况下，设置限制性太强的时间或一天规则可能会阻止 Directory Manager 用户正确管理该目录。

1.13.2. 使用命令行配置 RootDN 访问控制插件
复制链接

默认情况下禁用 RootDN Access Control 插件。要限制 Directory Manager 帐户的权限，请启用并配置插件。

流程

启用 RootDN Access Control 插件：

dsconf <instance_name> plugin root-dn enable

# dsconf <instance_name> plugin root-dn enable

Copy to Clipboard

Toggle word wrap

设置绑定规则。例如，要允许 Directory Manager 帐户只从 IP 地址为 192.0.2.1 的主机 6am 和 9pm 之间登录，请输入：
```
dsconf <instance_name> plugin root-dn set --open-time=0600 --close-time=2100 --allow-ip="192.0.2.1"
```
```
# dsconf <instance_name> plugin root-dn set --open-time=0600 --close-time=2100 --allow-ip="192.0.2.1"
```
Copy to Clipboard Toggle word wrap
如需您可以设置的参数的完整列表及其描述，请输入：
```
dsconf <instance_name> plugin root-dn set --help
```
```
# dsconf <instance_name> plugin root-dn set --help
```
Copy to Clipboard Toggle word wrap
重启实例：
```
*dsctl <instance_name> restart`
```
```
# *dsctl <instance_name> restart`
```
Copy to Clipboard Toggle word wrap

验证

从允许或范围外的主机执行查询为 cn=Directory Manager ：

[user@192.0.2.2]$ ldapsearch -D "cn=Directory Manager" -W -H ldap://server.example.com -x -b "dc=example,dc=com"
Enter LDAP Password:
ldap_bind: Server is unwilling to perform (53)
	additional info: RootDN access control violation

[user@192.0.2.2]$ ldapsearch -D "cn=Directory Manager" -W -H ldap://server.example.com -x -b "dc=example,dc=com"
Enter LDAP Password:
ldap_bind: Server is unwilling to perform (53)
	additional info: RootDN access control violation

Copy to Clipboard

Toggle word wrap

如果目录服务器拒绝访问，插件可以正常工作。

1.13.3. 使用 Web 控制台配置 RootDN 访问控制插件
复制链接

默认情况下禁用 RootDN Access Control 插件。要限制 Directory Manager 帐户的权限，请启用并配置插件。

前提条件

在 web 控制台中登录到实例。

流程

导航到 Plugins RootDN Access Control。
启用插件。
根据您的要求填写字段。

View larger image
点击 Save。
点右上角的 Actions，然后选择 Restart Instance。

验证

从允许或范围外的主机执行查询为 cn=Directory Manager ：

[user@192.0.2.2]$ ldapsearch -D "cn=Directory Manager" -W -H ldap://server.example.com -x -b "dc=example,dc=com"
Enter LDAP Password:
ldap_bind: Server is unwilling to perform (53)
        additional info: RootDN access control violation

[user@192.0.2.2]$ ldapsearch -D "cn=Directory Manager" -W -H ldap://server.example.com -x -b "dc=example,dc=com"
Enter LDAP Password:
ldap_bind: Server is unwilling to perform (53)
        additional info: RootDN access control violation

Copy to Clipboard

Toggle word wrap

如果目录服务器拒绝访问，插件可以正常工作。

返回顶部

1.13. 在 Directory Manager 帐户上设置访问控制

1.13.1. 关于 Directory Manager 帐户上的访问控制
复制链接

1.13.2. 使用命令行配置 RootDN 访问控制插件
复制链接

1.13.3. 使用 Web 控制台配置 RootDN 访问控制插件
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

1.13. 在 Directory Manager 帐户上设置访问控制

1.13.1. 关于 Directory Manager 帐户上的访问控制复制链接链接已复制到粘贴板!

1.13.2. 使用命令行配置 RootDN 访问控制插件复制链接链接已复制到粘贴板!

1.13.3. 使用 Web 控制台配置 RootDN 访问控制插件复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

1.13.1. 关于 Directory Manager 帐户上的访问控制
复制链接

1.13.2. 使用命令行配置 RootDN 访问控制插件
复制链接

1.13.3. 使用 Web 控制台配置 RootDN 访问控制插件
复制链接