Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第36章 匿名バインドの無効化

ドメインのリソースにアクセスしてクライアントのツールを実行する場合は、常に Kerberos 認証が必要になります。ただし、IdM サーバーで使用されるバックエンドの LDAP ディレクトリーにより、anonymous バインドはデフォルトで許可されます。これによりユーザーやマシン、グループ、サービス、ネットグループ、DNS 設定などのドメインの全設定が非認証ユーザーに公開されてしまう可能性があります。
LDAP ツールを使用して nsslapd-allow-anonymous-access 属性をリセットすることで、389 Directory Server インスタンスで匿名バインドを無効にすることができます。
警告
特定のクライアントは匿名バインドに依存して、IdM 設定を検出します。さらに、認証を使用しないレガシークライアントの compat ツリーが破損する可能性があります。
  1. nsslapd-allow-anonymous-access 属性を rootdse に変更します。
    $ ldapmodify -x -D "cn=Directory Manager" -W -h server.example.com -p 389 -ZZ
    Enter LDAP Password:
    dn: cn=config
    changetype: modify
    replace: nsslapd-allow-anonymous-access
    nsslapd-allow-anonymous-access: rootdse
    
    modifying entry "cn=config"
    重要
    Anonymous アクセスは完全に許可したり (on) ブロックしたり (off) することができます。ただし、匿名アクセスを完全にブロックすると外部クライアントがサーバー設定をチェックすることもできなくなります。LDAP および web クライアントはドメインクライアントに限られるわけではないため、こうしたクライアントは匿名で接続を行ってルートの DSE ファイルを読み取り接続情報を取得します。
    rootdse では、ディレクトリーデータへのアクセスなしで、ルート DSE およびサーバー設定へのアクセスを許可します。
  2. 389 Directory Server インスタンスを再起動して、新しい設定を読み込みます。
    # systemctl restart dirsrv.target
関連情報