Điểm:0

Xử lý quyền truy cập OpenLDAP

lá cờ in

Tôi đã cài đặt OpenLDAP trên Ubuntu Server 20.04. Nó hoạt động tốt cho đến nay. Bây giờ tôi muốn hạn chế quyền truy cập vào máy chủ, vì bây giờ bất kỳ ai cũng có thể đọc tất cả các mục nhập, ví dụ:. trong Thunderbird. Vì vậy, tôi đã tạo một tệp ldif như thế này:

dn: olcDatabase={1}mdb,cn=config
changetype: sửa đổi
thay thế: olcAccess
olcAccess: tới attrs=userPassword
  tự viết
  bởi ủy quyền ẩn danh
  bởi * không
olcAccess: tới attrs=shadowLastChange
  tự viết
  bởi * đọc
olcAccess: để * bởi * đọc

đó là cấu hình tiêu chuẩn. Dù sao đi nữa, nếu tôi thay đổi mục cuối cùng thành mục khác, ví dụ:

olcAccess: đến * do người dùng đọc

Tôi không thể truy cập LDAP trong Thunderbird nữa. Điều tôi muốn là Thunderbird yêu cầu tên người dùng và mật khẩu trước khi nó hiển thị bất kỳ thứ gì. Trong Thunderbird có 5 trường để thiết lập:

Đặt tên bất kỳ cho LDAP
Địa chỉ máy chủ Địa chỉ DNS
Cơ sở-DN, ví dụ: dc=ví dụ,dc=tổ chức   
Cổng số 636 
Ràng buộc-DN ?? 

Nếu tôi không đặt gì vào Bind-DN, Thunderbird không yêu cầu bất cứ điều gì nhưng cũng không hiển thị bất cứ điều gì. Nếu tôi đặt tên người dùng hoặc tên người dùng của mình vào đó, nó sẽ yêu cầu nhập mật khẩu nhưng không có gì hiển thị lại.

Tôi có hai câu hỏi:

  • Làm thế nào nên ldif trông như thế nào?
  • Những gì đã được đưa vào Thunderbird?
Điểm:2
lá cờ fr

"Liên kết DN" là tên của mục nhập thư mục được sử dụng trong thao tác đăng nhập (liên kết). Trong LDAP, không có ID người dùng riêng biệt â thay vào đó là các mục nhập của bạn chúng tôi là các tài khoản LDAP.

Ví dụ, cn=Arne Fallisch,ou=Nhân viên,dc=ví dụ,dc=org sẽ là "Bind DN" của bạn (tất nhiên là giả sử nó tồn tại) và mục nhập của mật khẩu người dùng thuộc tính sẽ là mật khẩu của bạn.

(Thuộc tính có thể chứa mật khẩu băm; thuộc tính tátpasswd lệnh có thể được sử dụng để tạo hàm băm mật khẩu tương thích hoặc ldapppasswd có thể được sử dụng để thay đổi mật khẩu trực tuyến.)

Bất kỳ mục nhập nào bất kể objectClass của nó là gì đều có thể được sử dụng để liên kết với thư mục, miễn là nó có thuộc tính userPassword â bao gồm 'person', 'inetOrgPerson', 'posixAccount' và một vài mục khác.


Lưu ý rằng ACL OpenLDAP hoạt động ở chế độ "tàng hình" theo mặc định â tức là thay vì nói "Quyền truy cập bị từ chối", máy chủ giả vờ rằng các mục nhập không khả dụng hoàn toàn không tồn tại. Khi bảo vệ toàn bộ máy chủ, bạn có thể muốn nó trả về lỗi "Cần xác thực" thay vì — để đạt được điều này, hãy xác định olcYêu cầu: liên kết authc trong mục olcDatabase của bạn (nhưng không phải trong mục cấu hình chung; làm như vậy sẽ phá vỡ những thứ như xác thực StartTLS và SASL).

Arne Fallisch avatar
lá cờ in
Trước hết cảm ơn bạn đã giúp đỡ của bạn. Tôi đã thiết lập một tệp ldif với: dn: olcDatabase={1}mdb,cn=config thêm: olcRequires olcYêu cầu: authc An sau đó đặt bindDN vào: cn=Arne Fallisch,ou=people,dc=example,dc=org Sau đó, một truy vấn mật khẩu xuất hiện nhưng khi tôi nhập mật khẩu thì nó lại hiện lên hoặc không có gì xảy ra. Tôi cũng đã thử với uid=afallisch nhưng nó cũng không hoạt động. Điều thú vị là tôi cũng sử dụng Máy chủ NextCloud nơi kết nối hoạt động hoàn hảo.
Arne Fallisch avatar
lá cờ in
Quên "đã đọc" trong tệp ldif, không, nó hoạt động

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.