我正在保护LDAP服务器。 我们有几个脚本可以帮助我们pipe理logging,并且通过ldap(s)端口(389/636)完成对slapd的访问(从外部)。 pipe理脚本从运行slapd的服务器上的本地主机执行,并使用ldapi进行访问(如-Y EXTERNAL -H ldapi:/// )。 访问ldapi只能从本地主机打开(使用防火墙)。
我想确保(如果可能的话)通过ldap(s)尝试的任何更改将失败,而通过ldapi更改是允许的。
有没有办法在slapdconfiguration本身configuration?
PS:这个设置使用新的configuration模型( /etc/openldap/slapd.d/... )而不是文件configuration。
它出现在默认configuration上添加下面的ACL的窍门:
olcAccess: to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage
peercred身份validation仅在ldapi接口上工作的事实并不明显,在文档中的任何地方都没有提及。
这条线路在这里被发现,也被IRC的开发者证实