目的:默认情况下,openldap server允许所有用户进行用户组查询,不进行认证。为了防止系统用户组数据泄露,我们需要给查询加上用户认证。
创建认证配置文件:
cat > disable_anon.ldif <<"EOF"
dn: cn=config
changetype:modify
add:olcDisallows
olcDisallows:bind_anon
dn: cn=config
changetype:modify
add:olcRequires
olcRequires:authc
dn:olcDatabase={-1}frontend,cn=config
changetype:modify
add:olcRequires
olcRequires:authc
EOF
添加配置:
ldapadd -Y EXTERNAL -H ldapi:/// -f disable_anon.ldif
查询测试:
不加用户名密码查询:
ldapsearch -x -b "dc=asiainfo,dc=com"
添加用户名密码查询:
ldapsearch -h 10.1.236.84 -D "cn=root,dc=asiainfo,dc=com" -w 123456 -L "objectClass=*" |grep cent
测试结果:OK。
网友评论