OpenLDAPのアクセス権設定
OpenLDAP の セキュリティを高めるためには、slapd.conf のアクセス権設定が重要です。
例えば以下の方針でOpenLDAPを使わせるとします。
- 管理者には全てのオブジェクトに対しての変更(write)権限を与える。管理者がバインドするユーザアカウント(BindDN)は "cn=Manager,dc=example,dc=com" とする
- LDAP連携する機器(Webサーバやグループウェアサーバ等)には全ての読み取り権限を与える。これらの機器がバインドするユーザアカウント(BindDN)は "cn=Searcher,dc=example,dc=com"とする
- その他のユーザは自身のパスワードは変更(write)でき、自身の情報を読み取り(read)できる。
- 匿名認証は許可しない
上記要件の acl 設定例を以下に示します。
access to dn="cn=.*,dc=example,dc=com" by self read by anonymous auth by * noneaccess to dn.subtree="dc=example,dc=com" attrs=UserPassword by dn="cn=Manager,dc=example,dc=com" write by dn="cn=Seacher,dc=example,dc=com" read by self write by anonymous auth by * none access to dn.subtree="dc=example,dc=com" by dn="cn=Manager,dc=example,dc=com" write by dn="cn=Searcher,dc=example,dc=com" read by self read by anonymous auth by * none access to * by self read by anonymous auth by * none
IT/インフラエンジニアの地位とスキル向上のために
【年収UPの体験談】あなたの IT/インフラエンジニアとしての価値
IT 技術の進化はとどまることを知りません。矢継ぎ早に新たな技術が出てきたり、数...
milestone-of-se.nesuke.com
【パケットキャプチャ】はNWエンジニアの価値を大きく高める
nesuke の考える NW エンジニアの2つの道 ネットワークエンジニアには ...
milestone-of-se.nesuke.com
あなたが成長の日々を歩めますように。
コメント