Câu trả lời:
Không phải ACL của quanta là một điều xấu, nhưng để trả lời câu hỏi của bạn:
ldapmodify
dn: cn = config
changetype: sửa đổi
add: olcDisallows
olcDisallows: bind_anon
-dn: olcDatabase = {- 1} frontend, cn = config
changetype: sửa đổi
add: olcRequires
olcRequires: authc
Xin lưu ý rằng ldapmodify rất nhạy cảm với (dấu vết), do đó, một bản sao chép thẳng sẽ không hoạt động (và có thể không xác thực chính xác của bạn). Ngoài ra, dn bạn sử dụng sẽ cần quyền truy cập ghi vào cn = config db.
Biến thể trên cùng một chủ đề, tôi đã thử, hoạt động: Mẹo bảo mật LDAP tại SysadminTalk
Tóm lược:
1) Tạo một tệp, hãy gọi nó disable_anon_frontend.ldifvới nội dung sau:
dn: olcDatabase={-1}frontend,cn=config
add: olcRequires
olcRequires: authc
2) Tạo một tệp khác được gọi disable_anon_backend.ldifvới nội dung sau:
dn: olcDatabase={1}hdb,cn=config
add: olcRequires
olcRequires: authc
3) Sau đó, trên máy chủ, sửa đổi LDAP bằng cách ban hành các lệnh sau:
sudo ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f disable_anon_frontend.ldif
sudo ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f disable_anon_backend.ldif
4) Kiểm tra bằng cách thực hiện truy vấn anon sau: ldapsearch -x -LLL -H ldap:/// -b dc=example,dc=domain,dc=com dn(sử dụng dc=...cài đặt của bạn nếu có).
Nếu bạn thấy thông báo lỗi bên dưới, thì truy cập ẩn danh đã bị vô hiệu hóa thành công:
Server is unwilling to perform (53)
Additional information: authentication required
Chúc may mắn!
Tôi chưa thử nghiệm nhưng hãy thử một cái gì đó như thế này:
dn: olcDatabase={1}hdb,cn=config
add: olcAccess
olcAccess: to attrs=userPassword
by dn="cn=admin,dc=example,dc=com" write
by self write
by * none
olcAccess: to dn.base=""
by users read
by * none
olcAccess: to *
by dn="cn=admin,dc=example,dc=com" write
by * none