Как защитить LDAP
Я думаю, делаете ли Вы:
access to attrs=userPassword,shadowLastChange
by dn="cn=Admin,dc=MYDOMAIN,dc=com" write
by anonymous auth
by self write
by * none
access to *
by dn="cn=Admin,dc=MYDOMAIN,dc=com" write
by self write
by anonymous auth
by users read
by * none
Вы будете иметь то, что Вы хотите.
Я узнал, что, по крайней мере, для самбы на debian Вы имеете, должны дать * доступ для чтения к нескольким атрибутам на учетных записях:
access to attrs=userPassword
by anonymous auth
by * none
access to dn.subtree="ou=People,dc=MYDOMAIN,dc=com"
attrs=dc,cn,uid,gecos,entry
by * read
access to *
by dn="cn=admin,dc=MYDOMAIN,dc=com" write
by peername.ip=127.0.0.1 read
by * none
dn.subtree = "ou =...," добавляет дополнительная безопасность так Вы только, выставляют анонимному, что действительно неизбежно. Это означает, что анонимный не может искать/просматривать это поддерево BTW, он может только 'предположить' право dc, cn, безотносительно Ваших потребностей приложения/сервиса.
peername.ip=127... должно быть преодолимым, если Вы делаете все приложения/сервисы, которые используют вход в систему с администраторской учетной записью или если Вы хотите доступ только для чтения для своих приложений, Вы могли бы сделать специальный dn, для которого, Вы могли затем пропустить peername.ip строку файла конфигурации.
Вашей проблемой мог бы быть порядок. Выглядит, как будто Вы помещаете всеобъемлющую запись наверху, вместо внизу, где это принадлежит.
Кроме того, если Вы будете интересоваться безопасностью, то Вы захотите использовать TLS или SSL для обеспечения канала передачи.