OpenLDAP の acl (slapd.conf の アクセス権)設定について

OpenLDAPのアクセス権設定

OpenLDAP の セキュリティを高めるためには、slapd.conf のアクセス権設定が重要です。

例えば以下の方針でOpenLDAPを使わせるとします。

  • 管理者には全てのオブジェクトに対しての変更(write)権限を与える。管理者がバインドするユーザアカウント(BindDN)は "cn=Manager,dc=example,dc=com" とする
  • LDAP連携する機器(Webサーバやグループウェアサーバ等)には全ての読み取り権限を与える。これらの機器がバインドするユーザアカウント(BindDN)は "cn=Searcher,dc=example,dc=com"とする
  • その他のユーザは自身のパスワードは変更(write)でき、自身の情報を読み取り(read)できる。
  • 匿名認証は許可しない

上記要件の acl 設定例を以下に示します。

access to dn="cn=.*,dc=example,dc=com"
by self read
by anonymous auth
by * noneaccess to dn.subtree="dc=example,dc=com" attrs=UserPassword
by dn="cn=Manager,dc=example,dc=com" write
by dn="cn=Seacher,dc=example,dc=com" read
by self write
by anonymous auth
by * none

access to dn.subtree="dc=example,dc=com"
by dn="cn=Manager,dc=example,dc=com" write
by dn="cn=Searcher,dc=example,dc=com" read
by self read
by anonymous auth
by * none

access to *
by self read
by anonymous auth
by * none

IT/インフラエンジニアの地位とスキル向上のために

関連記事

IT 技術の進化はとどまることを知りません。矢継ぎ早に新たな技術が出てきたり、数年前の技術が時代遅れになったりと、IT エンジニアは勉強し続ける運命のようです。 それをどう思うかはあなた次第。 ビジネスの基本は『付加価値を与える[…]

IMG
関連記事

nesuke の考える NW エンジニアの2つの道 ネットワークエンジニアには 2 つの道があります。 1 つはネットワーク構築一筋で、L4 までをひたすらきっちりと構築していく道。 もう 1 つはネットワークを軸として深堀し[…]

IMG