第35章 Anonymous バインドの無効化

ドメインのリソースにアクセスしてクライアントのツールを実行する場合は、常に Kerberos 認証が必要になります。ただし、IdM サーバーで使用されるバックエンドの LDAP ディレクトリーにより、anonymous バインドはデフォルトで許可されます。これによりユーザーやマシン、グループ、サービス、ネットグループ、DNS 設定などのドメインの全設定が非認証ユーザーに公開されてしまう可能性があります。
LDAP ツールを使って nsslapd-allow-anonymous-access 属性をリセットすると 389 Directory Server インスタンスで anonymous バインドを無効にすることができます。
  1. nsslapd-allow-anonymous-access 属性を rootdse に変更します。
    $ ldapmodify -x -D "cn=Directory Manager" -W -h server.example.com -p 389 -ZZ
    Enter LDAP Password:
    dn: cn=config
    changetype: modify
    replace: nsslapd-allow-anonymous-access
    nsslapd-allow-anonymous-access: rootdse
    
    modifying entry "cn=config"

    重要

    Anonymous アクセスは完全に許可したり (on) ブロックしたり (off) することができます。ただし、anonymous アクセスを完全にブロックすると外部クライアントがサーバー設定をチェックすることもできなくなります。LDAP および web クライアントはドメインクライアントに限られるわけではないため、こうしたクライアントは匿名で接続を行ってルートの DSE ファイルを読み取り接続情報を取得します。
    rootdseディレクトリーデータにはアクセスさせずにルート DSE とサーバー設定へのアクセスを許可します。
  2. 389 Directory Server インスタンスを再起動して新しい設定をロードします。
    # systemctl restart dirsrv.target