我在一个小的testing群集上安装了LDAP服务器,但是我遇到了一些隐私问题。
第一个问题是,任何login到集群中的任何服务器的人都可以为整个集群的所有用户检索所有用户名。 这是我的用例不能接受的。
我以为我设法通过禁用匿名访问,并要求使用bindpw用户名和密码来克服这个问题。 但是,密码保存在ldap.conf文件中需要对世界可读的明文,否则我一直得到一个id: cannot find name for user ID 22594错误的每个用户试图login到任何服务器的名称簇。
我想我正在想念我只是不知道什么。 任何人都可以告诉我如何设置访问的方式,用户可以login,从LDAP中检索自己的详细信息,而不是群集中的任何其他人的细节?
如果使用sssd作为中间件工具从LDAP获取用户并将其转换为Unix用户,则默认configuration不允许用户获取所有用户的列表。
另一方面,正如Sven所写,除了向操作系统询问完整的用户列表之外,还有许多其他的方式来获得关于用户名的信息。
# this is a snippet from /etc/sssd/sssd.conf # Example LDAP domain [domain/LDAP] id_provider = ldap auth_provider = ldap ldap_schema = rfc2307 ldap_uri = ldap://ldap.example.org ldap_search_base = dc=example,dc=org ldap_tls_reqcert = demand cache_credentials = true # enumerate = False denies users' listing enumerate = False