ACL для пользователя binddn для PAM?

Я установил 389-ds и создал пользователя и пару групп. Затем я настроил authconfig на клиенте, чтобы использовать экземпляр LDAP для аутентификации пользователя. Я успешно зарегистрировался в качестве этого пользователя. Все хорошо до сих пор.

Теперь я хочу отключить анонимный доступ:

 dn: cn=config replace: nsslapd-allow-anonymous-access nsslapd-allow-anonymous-access: off 

Поскольку PAM по умолчанию использует анонимную привязку, мне нужно поместить binddn и bindpw в /etc/pam_ldap.conf и создать этого пользователя в экземпляре LDAP . Нет проблем, нет.

То, что я не могу найти в документальном документе, – это то, нужно ли мне binddn этот binddn «пользователь» к некоторому списку контроля доступа, чтобы он мог видеть пароли любого пользователя.

Вопрос Первый: Нужно ли настраивать ACL для моего пользователя binddn ?

Я увидел одну заметку о том, что PAM просто связывает достаточно долго, чтобы проверить, существует ли пользователь, и настоящая попытка аутентификации является обязательной в качестве пользовательского запроса доступа (URA). Это была пара предложений в ссылке, которую я с тех пор потерял. Поэтому я не могу вернуться и попытаться найти расширение по этому сценарию. Если PAM работает таким образом, ему не нужен конкретный ACL, верно?

Вопрос второй: binddn ли PAM binddn только с возможностью поиска URA или ему нужны дополнительные привилегии?


2014-09-21 22:38

Я отключил анонимный доступ, как указано выше, и получил некоторые интересные вещи в журнале доступа для моего экземпляра dirsrv.

 [21/Sep/2014:22:33:45 -0700] conn=111 op=0 UNPROCESSED OPERATION - Anonymous access not allowed [21/Sep/2014:22:33:45 -0700] conn=111 op=0 RESULT err=48 tag=101 nentries=0 etime=0 [21/Sep/2014:22:33:45 -0700] conn=111 op=1 UNPROCESSED OPERATION - Anonymous access not allowed [21/Sep/2014:22:33:45 -0700] conn=111 op=1 RESULT err=48 tag=101 nentries=0 etime=0 [21/Sep/2014:22:33:45 -0700] conn=111 op=2 UNBIND [21/Sep/2014:22:33:45 -0700] conn=111 op=2 fd=65 closed - U1 [21/Sep/2014:22:33:45 -0700] conn=112 fd=64 slot=64 SSL connection from 127.0.0.1 to 127.0.0.1 [21/Sep/2014:22:33:45 -0700] conn=112 SSL 128-bit AES [21/Sep/2014:22:33:45 -0700] conn=112 op=0 BIND dn="cn=dafydd2277,ou=users,dc=localdomain" method=128 version=3 [21/Sep/2014:22:33:45 -0700] conn=112 op=1 UNBIND [21/Sep/2014:22:33:45 -0700] conn=112 op=1 fd=64 closed - U1 [21/Sep/2014:22:33:45 -0700] conn=112 op=0 RESULT err=0 tag=97 nentries=0 etime=0 dn="cn=dafydd2277,ou=users,dc=localdomain" 

Я сравнивал это с попытками входа в систему, позволяющими анонимное связывание. Это были все SRCH запросы SRCH , без реальных попыток связывания. Это имеет смысл.

Следующим экспериментом будет попытка сменить пароль с отключением анонимного соединения. Я свяжусь как я, или будет PAM попытка анонимного связывания? (У меня есть предположение …)

Я дрейфую к выводу, что доступ PAM предназначен исключительно для поисков. Любые изменения для данного пользователя обрабатываются через собственные учетные данные этого пользователя. Это означает, что я могу создать пользователя для подключения PAM, не беспокоясь об этом доступе пользователя.


2014-09-22 21:31

Итак, я добавил учетную запись для PAM для использования для поиска и установил binddn и bindpw в /etc/pam_ldap.conf . Плохая новость заключается в том, что я все еще получаю попытки UNPROCESSED OPERATION , и я не могу доказать, что PAM теперь использует DN, который я ему дал. (Кроме того, поведение не изменяется с помощью --enablesssd или --disablessd в authconfig . Где граница между PAM и SSS?) Дополнительные исследования для последующего …

Interesting Posts

Двойная загрузка Windows 7 и Arch Linux

Извлечение графиков из PDF-файлов

sudo не может открыть / etc / sudoers

Как настроить команду «mail» для использования сервера ретрансляции SMTP без использования службы sendmail?

FreeBSD systat не вычисляет скорость загрузки / total на wlan0

Прочитайте файл с двумя столбцами, rsync каждую строку от столбца 1 до столбца 2

Как быстро найти каталоги и подкаталоги?

Прокрутка в сенсорной панели не работает на Acer Aspire S3

Пакеты листинга Debian, рекомендованные уже установленными пакетами

Программа классной книги, которая работает на gentoo

Как я могу получить графическую установку Radeon HD 3470 с двумя дисплеями, работающую с Scientific Linux 6.5?

Как узнать, какие учетные записи, связанные с ssh, запущены

Является ли хорошей практикой сделать файл блокировки init скрипта неизменным?

Слова, которые заканчиваются на s, НО исключают слова, которые заканчиваются словами s

Как закрыть все приложения до того, как X-сервер опустится?

Linux и Unix - лучшая ОС в мире.