înregistrare Logare
Puncte:0
Arne Fallisch avatar Server

Gestionarea accesului OpenLDAP

drapel in
Arne Fallisch

Am instalat OpenLDAP pe Ubuntu Server 20.04. Functioneaza bine pana acum. Acum vreau să restricționez accesul la server, deoarece oricine poate citi toate intrările, de ex. în Thunderbird. Prin urmare, am creat un fișier ldif ca acesta:

dn: olcDatabase={1}mdb,cn=config
changetype: modifică
înlocuiți: olcAccess
olcAccess: to attrs=userPassword
  prin autoscriere
  prin autorizare anonimă
  de * niciunul
olcAccess: to attrs=shadowLastChange
  prin autoscriere
  prin * citit
olcAccess: pentru a * prin * citit

care este configurația standard. Oricum, dacă schimb ultima intrare cu altceva, de ex.

olcAccess: la * citit de utilizatori

Nu mai pot accesa LDAP în Thunderbird. Ce vreau este ca Thunderbird să solicite un nume de utilizator și o parolă înainte de a afișa ceva. În Thunderbird există 5 câmpuri de setat:

Denumiți orice nume pentru LDAP
Adresa serverului Adresa DNS
Base-DN de ex. dc=exemplu,dc=org   
Port-Număr 636 
Bind-DN ​​??

Dacă nu pun nimic în Bind-DN, Thunderbird nu cere nimic, dar nici nu arată nimic. Dacă îmi pun numele de utilizator sau ID-ul de utilizator în el, îmi cere o parolă, dar nu se afișează nimic din nou.

Am doua intrebari:

  • Cum ar trebui să arate ldif-ul?
  • Ce trebuie pus în Thunderbird?
32
0 + 0
Puncte:2
user1686 avatar Server
drapel fr
user1686

„Bind DN” este numele unei intrări de director folosită în operația de conectare (legare). În LDAP, nu există ID-uri de utilizator separate â în schimb intrările dvs înșiși sunt conturile LDAP.

De exemplu, cn=Arne Fallisch,ou=Staff,dc=exemplu,dc=org ar fi "Bind DN" al tău (presupunând că există, desigur) și al intrării Parolă de utilizator atributul ar fi parola dvs.

(Atributul poate conține o parolă hashing; the slappasswd comanda poate fi folosită pentru a genera o parolă hash compatibilă sau ldappasswd poate fi folosit pentru a schimba parola online.)

Orice intrare, indiferent de objectClass, poate fi folosită pentru legarea la director, atâta timp cât are atributul userPassword â acesta include „persoană”, „inetOrgPerson”, „posixAccount” și alte câteva.

Rețineți că ACL-urile OpenLDAP funcționează în mod implicit „stealth” – adică, în loc să spună „Acces refuzat”, serverul pretinde că intrările indisponibile nu există deloc. Când protejați un întreg server, probabil că ați prefera să returneze doar o eroare „Este necesară autentificarea” â pentru a realiza acest lucru, definiți olcNecesită: bind authc în intrarea dvs. olcDatabase (dar nu în intrarea de configurare globală; făcând acest lucru ar rupe lucruri precum autentificarea StartTLS și SASL).

0 + 0
Arne Fallisch avatar
drapel in
Arne Fallisch
În primul rând, vă mulțumesc pentru ajutor. Am configurat un fișier ldif cu: dn: olcDatabase={1}mdb,cn=config adăugați: olcRequires olcNecesită: authc Apoi puneți bindDN la: cn=Arne Fallisch,ou=oameni,dc=exemplu,dc=org Apoi apare o interogare de parolă, dar când introduc parola, apare din nou sau nu se întâmplă nimic. Am încercat și cu uid=afallisch, dar nici nu funcționează. Interesant, folosesc și un server NextCloud unde conexiunea funcționează perfect.
0
Răspunde
Arne Fallisch avatar
drapel in
Arne Fallisch
Am uitat „citește” din fișierul ldif, nu funcționează
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.