Назад | Перейти на главную страницу

OpenLDAP позволяет редактировать только из интерфейса ldapi?

Я работаю над защитой LDAP-сервера. У нас есть несколько скриптов, которые помогают нам управлять записями в нем, и доступ (извне) к slapd осуществляется через порты ldap (s) (389/636). Сценарии управления выполняются с localhost на сервере, на котором запущен slapd, и используют ldapi для доступа (как в -Y EXTERNAL -H ldapi:///). Доступ к ldapi открывается только с localhost (через брандмауэр).

Я хотел бы убедиться (если это вообще возможно), что любые изменения, предпринятые через ldap (s), потерпят неудачу, а изменения через ldapi разрешены.

Есть ли способ настроить это в самой конфигурации slapd?

PS: В этой настройке используется новая модель конфигурации (/etc/openldap/slapd.d/...), а не файл config.

Похоже, что в конфигурации по умолчанию добавление следующего ACL помогает:

olcAccess: to * 
  by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage

Тот факт, что одноранговая аутентификация работает только через интерфейс ldapi, неочевиден и нигде в документации не упоминается.

Линия была найдена в Вот а также подтверждено разработчиками в IRC