Вопросы Теги

Проблема безопасности для Запроса LDAP

Недавние версии Ubuntu дают опцию во время установки, чтобы иметь машину, становятся 'сервером ЛАМПЫ' - Linux/Apache/Mysql/PHP). Это может также быть сделано постустановка путем выполнения 'tasksel' как корень (или через "sudo tasksel').

2
задан 13 January 2014 в 16:50
2 ответа

Верно. Эта информация доступна как часть LDAP. Вы можете заблокировать AD с помощью делегирования и изменения прав безопасности, но я бы не рекомендовал это.

3
ответ дан 3 December 2019 в 10:05

Да, разрешения безопасности по умолчанию в Active Directory предоставляют всем пользователям доступ на чтение к большинству атрибутов объектов в каталоге, включая других пользователей.

Если удаление этой возможности необходимо для удовлетворения ваших требований требований безопасности бизнеса, к сожалению, это не так просто, как изменить разрешения для OU / контейнера, в котором находятся ваши конфиденциальные пользователи. Разрешения, предоставляющие доступ для чтения к этим атрибутам, фактически не наследуются от их контейнера. Они устанавливаются непосредственно на объекте во время создания.

Чтобы изменить это, вам необходимо отредактировать схему AD и изменить ACL безопасности по умолчанию для пользовательского класса в соответствии с вашими требованиями безопасности. Безусловно, это деликатная операция. Но в отличие от других изменений схемы, это ' s полностью обратимый (просто измените разрешения обратно).

Это также не будет иметь обратной силы для пользователей, которые уже существуют. Вам нужно будет вернуться постфактум и использовать такой инструмент, как dsacls , чтобы сбросить для пользователей их разрешения безопасности по умолчанию из схемы.

Имейте в виду, что многие приложения, которые обращаются к Active Directory будет предполагать, что существуют разрешения безопасности по умолчанию, и может дать сбой по странным причинам, если не сможет прочитать эти атрибуты пользователя. Поэтому убедитесь, что все приложения, которым требуется доступ, работают с учетными данными, которым был предоставлен явный доступ для чтения атрибутов, которые им важны.

Мне нужно будет вернуться постфактум и использовать такой инструмент, как dsacls , чтобы сбросить для пользователей их разрешения безопасности по умолчанию из схемы.

Имейте в виду, что многие приложения, которые обращаются к Active Directory, будут предполагать разрешения безопасности по умолчанию существуют и могут давать сбой по странным причинам, если они не могут прочитать эти атрибуты пользователя. Поэтому убедитесь, что все приложения, которым требуется доступ, работают с учетными данными, которым был предоставлен явный доступ для чтения атрибутов, которые им важны.

Мне нужно будет вернуться постфактум и использовать такой инструмент, как dsacls , чтобы сбросить для пользователей их разрешения безопасности по умолчанию из схемы.

Имейте в виду, что многие приложения, которые обращаются к Active Directory, будут предполагать разрешения безопасности по умолчанию существуют и могут давать сбой по странным причинам, если они не могут прочитать эти атрибуты пользователя. Поэтому убедитесь, что все приложения, которым требуется доступ, работают с учетными данными, которым был предоставлен явный доступ для чтения атрибутов, которые им важны.

1
ответ дан 3 December 2019 в 10:05

Теги

Похожие вопросы