烂泥：openldap禁止匿名访问

本文由ilanniweb微信公众号提供友情赞助，首发于烂泥行天下

前几篇文章我们介绍了有关openldap的安装，这篇文章我们再来介绍下有关openldap匿名访问的相关情形。

一、查看openldap是否可以匿名访问

根据前几篇openldap的安装文章，我们知道目前openldap都是可以进行匿名访问的。

这个我们可以通过ldapadmin或者phpldapadmin等工具来进行查看。在这我们使用ldapadmin工具进行查看，如下：

通过上图，我们可以很明显的看出，openldap在匿名情况下是可以被访问的。而且openldap的相关信息，除了用户的密码信息之外，其他openldap的信息完全被呈现出来。

二、禁止openldap匿名访问

从安全的角度考虑，这种情况是不被允许的，所以我们要取消openldap的匿名访问功能。

要取消openldap的匿名访问功能，操作方法也比较简单。我们只需要把以下openldap信息导入openldap中即可，而且是无需重启openldap服务即时生效的。

具体操作步骤，如下：

cat > /root/disable_anon.ldif

dn: cn=config

changetype: modify

add: olcDisallows

olcDisallows: bind_anon

dn: cn=config

changetype: modify

add: olcRequires

olcRequires: authc

dn: olcDatabase={-1}frontend,cn=config

changetype: modify

add: olcRequires

olcRequires: authc

EOF

然后使用ldapadd命令导入到openldap中，如下：

ldapadd -Y EXTERNAL -H ldapi:///-f /root/disable_anon.ldif

现在我们来查看下这个对openldap服务器上的文件做了哪些改动，如下：

cat /etc/openldap/slapd.d/cn\=config.ldif

cat/etc/openldap/slapd.d/cn\=config/olcDatabase\=\{-1\}frontend.ldif

通过上图我们可以很明显的看出，openldap已经取消匿名用户访问功能。

三、再次验证openldap匿名访问功能

现在我们再来通过ldapadmin工具，验证openldap是否还可以被匿名访问，如下：

通过上图，我们可以看到openldap确实已经无法匿名访问了。那么我们再来使用用户名和密码方式进行访问验证下，如下：

通过上图，我们可以很明显的看出openldap已经通过用户名和密码的方式访问。这从侧面验证了openldap匿名访问功能，已经被禁止。