本文由ilanniweb微信公众号提供友情赞助,首发于烂泥行天下
jenkins技术分享QQ群:571981257
前几篇文章我们介绍了有关openldap的安装,这篇文章我们再来介绍下有关openldap匿名访问的相关情形。
一、查看openldap是否可以匿名访问
根据前几篇openldap的安装文章,我们知道目前openldap都是可以进行匿名访问的。
这个我们可以通过ldapadmin或者phpldapadmin等工具来进行查看。在这我们使用ldapadmin工具进行查看,如下:
通过上图,我们可以很明显的看出,openldap在匿名情况下是可以被访问的。而且openldap的相关信息,除了用户的密码信息之外,其他openldap的信息完全被呈现出来。
二、禁止openldap匿名访问
从安全的角度考虑,这种情况是不被允许的,所以我们要取消openldap的匿名访问功能。
要取消openldap的匿名访问功能,操作方法也比较简单。我们只需要把以下openldap信息导入openldap中即可,而且是无需重启openldap服务即时生效的。
具体操作步骤,如下:
cat > /root/disable_anon.ldif << “EOF”
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
EOF
然后使用ldapadd命令导入到openldap中,如下:
ldapadd -Y EXTERNAL -H ldapi:/// -f /root/disable_anon.ldif
现在我们来查看下这个对openldap服务器上的文件做了哪些改动,如下:
cat /etc/openldap/slapd.d/cn\=config.ldif
cat /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{-1\}frontend.ldif
通过上图我们可以很明显的看出,openldap已经取消匿名用户访问功能。
三、再次验证openldap匿名访问功能
现在我们再来通过ldapadmin工具,验证openldap是否还可以被匿名访问,如下:
通过上图,我们可以看到openldap确实已经无法匿名访问了。那么我们再来使用用户名和密码方式进行访问验证下,如下:
通过上图,我们可以很明显的看出openldap已经通过用户名和密码的方式访问。这从侧面验证了openldap匿名访问功能,已经被禁止。
未经允许不得转载:烂泥行天下 » 烂泥:openldap禁止匿名访问