Show Table of Contents
第35章 Anonymous バインドの無効化
ドメインのリソースにアクセスしてクライアントのツールを実行する場合は、常に Kerberos 認証が必要になります。ただし、IdM サーバーで使用されるバックエンドの LDAP ディレクトリーにより、anonymous バインドはデフォルトで許可されます。これによりユーザーやマシン、グループ、サービス、ネットグループ、DNS 設定などのドメインの全設定が非認証ユーザーに公開されてしまう可能性があります。
LDAP ツールを使って
nsslapd-allow-anonymous-access 属性をリセットすると 389 Directory Server インスタンスで anonymous バインドを無効にすることができます。
nsslapd-allow-anonymous-access属性をrootdseに変更します。$ ldapmodify -x -D "cn=Directory Manager" -W -h server.example.com -p 389 -ZZ Enter LDAP Password: dn: cn=config changetype: modify replace: nsslapd-allow-anonymous-access nsslapd-allow-anonymous-access: rootdse modifying entry "cn=config"
重要
Anonymous アクセスは完全に許可したり (on) ブロックしたり (off) することができます。ただし、anonymous アクセスを完全にブロックすると外部クライアントがサーバー設定をチェックすることもできなくなります。LDAP および web クライアントはドメインクライアントに限られるわけではないため、こうしたクライアントは匿名で接続を行ってルートの DSE ファイルを読み取り接続情報を取得します。rootdseは ディレクトリーデータにはアクセスさせずにルート DSE とサーバー設定へのアクセスを許可します。- 389 Directory Server インスタンスを再起動して新しい設定をロードします。
# systemctl restart dirsrv.target
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.