PAMのバインドユーザーのACL?

PAMのバインドユーザーのACL?

私はインストールしました389-dsそして、ユーザーと複数のグループを作成しました。その後、そのインスタンスを使用してユーザーを認証するようにクライアントauthconfigで設定しました。LDAPこのユーザーとして正常にログインしました。今まではそんなに良くなった。

今、匿名アクセスをオフにしたいと思います。

dn: cn=config
replace: nsslapd-allow-anonymous-access
nsslapd-allow-anonymous-access: off

デフォルトでは匿名バインディングが使用されているため、andを入れてインスタンスにユーザーを作成する必要がありますPAM。問題ありません。binddnbindpw/etc/pam_ldap.confLDAP

どこにも見つからない文書は、binddnこの「ユーザー」にすべてのユーザーのパスワードを表示できるように、一種のアクセス制御リストを提供する必要があるかどうかです。

binddn最初の質問:ユーザー用にACLを構成する必要がありますか?

PAMユーザーが存在することを確認するのに十分なバインディングがあり、実際の認証の試みはURA(User Requested Access)にバインドされるという趣旨のコメントを見ました。これは私の足りないリンクのいくつかの文です。だから私は戻ってそのシーンの拡張を見つけるしようとすることはできません。PAMこのように動作する場合、特定のACLは必要ありません。

質問2:PAM binddnURAを検索することしかできないのですか、それとも追加の権限が必要ですか?


2014-09-21 22:38

上記のように、匿名アクセスをオフにし、dirsrvインスタンスのアクセスログに興味深いものを見つけました。

[21/Sep/2014:22:33:45 -0700] conn=111 op=0 UNPROCESSED OPERATION - Anonymous access not allowed
[21/Sep/2014:22:33:45 -0700] conn=111 op=0 RESULT err=48 tag=101 nentries=0 etime=0
[21/Sep/2014:22:33:45 -0700] conn=111 op=1 UNPROCESSED OPERATION - Anonymous access not allowed
[21/Sep/2014:22:33:45 -0700] conn=111 op=1 RESULT err=48 tag=101 nentries=0 etime=0
[21/Sep/2014:22:33:45 -0700] conn=111 op=2 UNBIND
[21/Sep/2014:22:33:45 -0700] conn=111 op=2 fd=65 closed - U1
[21/Sep/2014:22:33:45 -0700] conn=112 fd=64 slot=64 SSL connection from 127.0.0.1 to 127.0.0.1
[21/Sep/2014:22:33:45 -0700] conn=112 SSL 128-bit AES
[21/Sep/2014:22:33:45 -0700] conn=112 op=0 BIND dn="cn=dafydd2277,ou=users,dc=localdomain" method=128 version=3
[21/Sep/2014:22:33:45 -0700] conn=112 op=1 UNBIND
[21/Sep/2014:22:33:45 -0700] conn=112 op=1 fd=64 closed - U1
[21/Sep/2014:22:33:45 -0700] conn=112 op=0 RESULT err=0 tag=97 nentries=0 etime=0 dn="cn=dafydd2277,ou=users,dc=localdomain"

私はこれを匿名バインディングを許可するログイン試行と比較しました。これはSRCH検索であり、実際のバインディングの試みではありません。これは意味があります。

次の実験は、匿名バインディングをオフにした状態でパスワードを変更してみることです。私が直接拘束するのか、それともPAMが匿名で拘束しようとしますか? (推測します...)

PAMのアプローチは検索用であるという結論に達しました。特定のユーザーに対するすべての変更は、そのユーザーの資格情報によって処理されます。これは、そのユーザーのアクセス権を心配することなく、接続するPAM用のユーザーを作成できることを意味します。


2014-09-22 21:31

だから私は検索のためにPAMにアカウントを追加しましたが、うまくいきましたbinddn。悪いニュースは、まだ試行が続いており、PAMが現在私が提供したDNを使用していることを証明できないということです。 (また、動作はからまたはで変更されません。PAMとSSSの間の境界はどこですか?)さらに研究を行う必要があります...bindpw/etc/pam_ldap.confUNPROCESSED OPERATION--enablesssd--disablessdauthconfig

関連情報