Рейтинг:0

Управление доступом OpenLDAP

флаг in

Я установил OpenLDAP на Ubuntu Server 20.04. Пока работает нормально. Теперь я хочу ограничить доступ к серверу, так как теперь любой может прочитать все записи, например. в Тандерберде. Поэтому я создал файл ldif следующим образом:

DN: olcDatabase={1}mdb,cn=config
тип изменения: изменить
заменить: olcAccess
olcAccess: to attrs=userPassword
  самостоятельно написать
  по анонимной авторизации
  по * нет
olcAccess: to attrs=shadowLastChange
  самостоятельно написать
  по * читать
olcAccess: для *по*чтению

что является стандартной конфигурацией. В любом случае, если я изменю последнюю запись на что-то другое, например.

olcAccess: чтобы * пользователи читали

Я больше не могу получить доступ к LDAP в Thunderbird. Я хочу, чтобы Thunderbird запрашивал имя пользователя и пароль, прежде чем что-либо показывать. В Thunderbird есть 5 полей для установки:

Имя Любое имя для LDAP
Адрес сервера DNS-адрес
Базовое DN, например. dc=пример,dc=org   
Номер порта 636 
Bind-DN ​​?? 

Если я ничего не добавляю в Bind-DN, Thunderbird ничего не запрашивает, но и ничего не показывает. Если я ввожу в него свое имя пользователя или идентификатор пользователя, он запрашивает пароль, но больше ничего не отображается.

У меня два вопроса:

  • Как должен выглядеть ldif?
  • Что нужно поставить в Thunderbird?
Рейтинг:2
флаг fr

«Bind DN» — это имя записи каталога, используемой в операции входа в систему (привязки). В LDAP нет отдельных идентификаторов пользователей — вместо них ваши записи сами себя являются учетными записями LDAP.

Например, cn=Арне Фаллиш,ou=сотрудники,dc=example,dc=org будет вашим «Bind DN» (при условии, что он существует, конечно), а запись пользовательский пароль атрибут будет вашим паролем.

(Атрибут может содержать хешированный пароль; slappasswd команда может использоваться для создания совместимого хэша пароля или ldappasswd можно использовать для смены пароля онлайн.)

Любая запись, независимо от ее объектного класса, может использоваться для привязки к каталогу, если она имеет атрибут userPassword — сюда входят «person», «inetOrgPerson», «posixAccount» и некоторые другие.


Обратите внимание, что списки управления доступом OpenLDAP по умолчанию работают в «невидимом» режиме, то есть вместо сообщения «Отказано в доступе» сервер делает вид, что недоступные записи вообще не существуют. При защите всего сервера вы, вероятно, предпочли бы, чтобы он просто возвращал ошибку «Требуется аутентификация» — для этого определите olcRequires: привязать авторизацию в вашей записи olcDatabase (но нет в записи глобальной конфигурации; это нарушит такие вещи, как аутентификация StartTLS и SASL).

Arne Fallisch avatar
флаг in
Прежде всего спасибо за вашу помощь. Я создал файл ldif с помощью: DN: olcDatabase={1}mdb,cn=config добавить: олкрекуирес olcRequires: авторизация Затем поместите bindDN в: cn=Арне Фаллиш,ou=люди,dc=example,dc=org Затем появляется запрос пароля, но когда я ввожу пароль, он снова появляется или ничего не происходит. Я также пробовал с uid=afallisch, но это тоже не работает. Интересно, что я также использую сервер NextCloud, где соединение работает отлично.
Arne Fallisch avatar
флаг in
Забыл "прочитать" в файле ldif, нет, работает

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.