openldap, ldapsearch без привязки извне
Если я посмотрю в свой openldap logfile, я всегда 3-4 раза в день нахожу следующие строки (olcLogLevel: 256; IP заменен):
Oct 17 23:44:40 debian slapd[674]: conn=1011 fd=14 ACCEPT from IP=______________ (IP=0.0.0.0:389)
Oct 17 23:44:40 debian slapd[674]: conn=1011 op=0 SRCH base="" scope=0 deref=0 filter="(objectClass=*)"
Oct 17 23:44:40 debian slapd[674]: conn=1011 op=0 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 17 23:44:40 debian slapd[674]: conn=1011 fd=14 closed (connection lost)
Как они могут искать без привязки (даже без анонимной привязки)? Как выглядит команда ldapsearch?
Правила olcAccess базы данных:
olcAccess: {0}to attrs=userPassword by self write by anonymous auth by * none
olcAccess: {1}to * by self write
olcAccess: {2}to * by self read
olcAccess: {3}to * by * none
Если я попробую ее с ldapsearch, я не смогу воспроизвести это, и это будет выглядеть так:
ldapsearch -x создает следующий журнал:
Oct 30 18:44:30 debian slapd[620]: conn=1006 fd=14 ACCEPT from IP=______________ (IP=[::]:389)
Oct 30 18:44:30 debian slapd[620]: conn=1006 op=0 BIND dn="" method=128
Oct 30 18:44:30 debian slapd[620]: conn=1006 op=0 RESULT tag=97 err=0 text=
Oct 30 18:44:30 debian slapd[620]: conn=1006 op=1 SRCH base="" scope=2 deref=0 filter="(objectClass=*)"
Oct 30 18:44:30 debian slapd[620]: conn=1006 op=1 SEARCH RESULT tag=101 err=32 nentries=0 text=
Oct 30 18:44:30 debian slapd[620]: conn=1006 op=2 UNBIND
Oct 30 18:44:30 debian slapd[620]: conn=1006 fd=14 closed
Я не верю, что ldapsearch может демонстрировать такое поведение, поскольку он всегда хочет выполнить какую-то привязку, но это не означает, что такое поведение не может возникнуть. Следующая программа создает журналы в той же форме, что и вы.
#!/usr/bin/env python3
import ldap
ldapURI = "ldap://ldap.example.com/"
ldapConnection = ldap.initialize(ldapURI)
ldapConnection.search_s('',ldap.SCOPE_BASE)
Если вы хотите ограничить даже такие виды поиска, вы можете сделать это, применив правила olcAccess к olcDatabase = {- 1 } интерфейс, cn = config . Прежде чем делать это, соблюдайте осторожность.