Во время работы над внутренним PT для соответствия PCI DSS он отмечает, что LDAP (сервер 389, FreeIPA) анонимная привязка позволяет выводить список учетных записей пользователей.
Многие поиски приводят к настройке
nsslapd-allow-anonymous-access: off
ИЛИ
nsslapd-allow-anonymous-access: rootdse
Но изменение этого, похоже, нарушает аутентификацию у клиентов, использующих этот сервер LDAP для аутентификации. В id
, getent
не возвращает никакой информации.
Как мы должны защитить LDAP-сервер, убедившись, что центральная аутентификация продолжает работать должным образом?