Я работаю над защитой LDAP-сервера. У нас есть несколько скриптов, которые помогают нам управлять записями в нем, и доступ (извне) к slapd осуществляется через порты ldap (s) (389/636). Сценарии управления выполняются с localhost на сервере, на котором запущен slapd, и используют ldapi для доступа (как в -Y EXTERNAL -H ldapi: ///
). Доступ к ldapi открывается только с локального хоста (с использованием брандмауэра).
Я хотел бы убедиться (если это вообще возможно), что любые изменения, предпринимаемые через ldap (s), не удастся, в то время как изменения через ldapi разрешены.
Есть ли способ настроить это в самой конфигурации slapd?
PS: Эта установка использует новую модель конфигурации ( /etc/openldap/slapd.d / ...
), а не файл конфигурация
Похоже, что в конфигурации по умолчанию добавление следующего ACL делает трюк:
olcAccess: to *
by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage
Тот факт, что прогностическая аутентификация работает только через интерфейс ldapi, не очевиден и нигде в документации не упоминается.
Строка была найдена в здесь, а также подтверждена разработчиками на IRC
.