一、匿名访问openldap
openldap默认都是可以进行匿名访问的,这个我们可以通过ldapadmin或者phpldapadmin等工具来进行查看。在这我们使用ldapadmin工具进行查看,如下:
通过上图,我们可以很 明显的看出,openldap在匿名情况下是可以被访问的。而且openldap的相关信息,除了用户的密码信息之外,其他openldap的信息完全被呈现出来。
二、禁止openldap匿名访问
从安全的角度考虑,这种情况是不被允许的,所以我们要取消openldap的匿名访问功能。
要取消openldap的匿名访问功能,操作方法也比较简单。我们只需要把以下openldap信息导入openldap中即可,而且是无需重启openldap服务即时生效的。
编辑ldif文件
[root@test ~]$ vim disable_anon.ldif
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
使用ldapadd命令导入到openldap
[root@test ~]$ ldapadd -Y EXTERNAL -H ldapi:/// -f disable_anon.ldif
检查openldap服务器上的文件改动
cat /etc/openldap/slapd.d/cn\=config.ldif
cat /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{-1\}frontend.ldif
三、验证openldap匿名访问
通过配置后,验证openldap是否还可以被匿名访问。
ldapsearch -x -H ldap://127.0.0.1:389 -b dc=cn
可以看到已经禁止了匿名访问。