Я работаю над защитой LDAP-сервера. У нас есть несколько скриптов, которые помогают нам управлять записями в нем, и доступ (извне) к slapd осуществляется через порты ldap (s) (389/636). Сценарии управления выполняются с localhost на сервере, на котором запущен slapd, и используют ldapi для доступа (как в -Y EXTERNAL -H ldapi:///
). Доступ к ldapi открывается только с localhost (через брандмауэр).
Я хотел бы убедиться (если это вообще возможно), что любые изменения, предпринятые через ldap (s), потерпят неудачу, а изменения через ldapi разрешены.
Есть ли способ настроить это в самой конфигурации slapd?
PS: В этой настройке используется новая модель конфигурации (/etc/openldap/slapd.d/...
), а не файл config.
Похоже, что в конфигурации по умолчанию добавление следующего ACL помогает:
olcAccess: to *
by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage
Тот факт, что одноранговая аутентификация работает только через интерфейс ldapi, неочевиден и нигде в документации не упоминается.
Линия была найдена в Вот а также подтверждено разработчиками в IRC