Avec slapd.conf, vous pouvez globalement désactiver la liaison anonyme et exiger une authentification avec les directives statiques suivantes:
disallow bind_anon
require authc
Comment puis-je obtenir les mêmes paramètres globaux, mais en utilisant la nouvelle méthode de configuration en direct cn = config?
Non pas que les ACL de quanta soient une mauvaise chose, mais pour répondre à votre question:
ldapmodify
dn: cn = config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
-dn: olcDatabase = {- 1} frontend, cn = config
changetype: modify
add: olcRequires
olcRequires: authc
Veuillez noter que ldapmodify est sensible aux espaces (de fin), donc un copier-coller direct ne fonctionnera pas (et peut ne pas vous authentifier correctement non plus). De plus, le dn que vous utilisez aura besoin d'un accès en écriture à la base de données cn = config.
Variation sur le même thème, je l'ai essayé, fonctionne: conseils de sécurité LDAP sur SysadminTalk
Sommaire:
1) Créez un fichier, appelons-le disable_anon_frontend.ldifavec le contenu suivant:
dn: olcDatabase={-1}frontend,cn=config
add: olcRequires
olcRequires: authc
2) Créez un autre fichier appelé disable_anon_backend.ldifavec le contenu suivant:
dn: olcDatabase={1}hdb,cn=config
add: olcRequires
olcRequires: authc
3) Puis sur le serveur, modifiez le LDAP en émettant les commandes suivantes:
sudo ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f disable_anon_frontend.ldif
sudo ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f disable_anon_backend.ldif
4) Vérifiez en exécutant la requête anon suivante: ldapsearch -x -LLL -H ldap:/// -b dc=example,dc=domain,dc=com dn(utilisez vos dc=...paramètres le cas échéant).
Si vous voyez le message d'erreur ci-dessous, l'accès anonyme a été désactivé avec succès:
Server is unwilling to perform (53)
Additional information: authentication required
Bonne chance!
Je n'ai pas testé mais essayez quelque chose comme ceci:
la source