나는 최근에 조직에 가입했고 항목을 추가/제거하거나 LDAP(OpenDJ ldap 및 오픈 소스 LINUX 기본 ldap)에 속성을 추가할 수 있는 권한을 받았습니다.
지금까지 아무런 문제 없이 수천 개의 수정 사항과 속성을 추가했지만 LDAP에 속성을 추가하면(값(예: IP) 중 하나를 본 직후에 혼란스러운 문자가 있는 것처럼 보입니다.) 너무 당황스러워서 즉시 삭제하고 디렉토리 관리자 자격 증명을 통해 문제를 수정했습니다.
내 LDAP 관리자가 전화를 걸어 디렉토리 관리자 비밀번호를 사용하여 LDAP 데이터베이스를 손상시킬 수 있는 콘텐츠를 추가하기 위해 디렉토리 관리자 액세스를 사용하지 말라고 말했습니다. 나는 그것을 믿지 않았고, 방법을 물었지만 대답이 없었습니다.
특수 그룹 및 특수 속성의 값을 변경하면 LDAP 전체가 실제로 손상됩니까?
어떤 설명이라도 도움이 될 것입니다.
답변1
포인트는 계정이다cn=카탈로그 관리자설치 시 생성되며 나머지 설치 프로그램을 실행하는 데 사용됩니다. (자세한 내용은 잊어버렸지만오픈디제이이러한 관리 항목은 여러 개 허용됩니다. )
중요한 점은 이러한 관리 엔터티에는 액세스 제어나 제한이 적용되지 않는다는 것입니다. 특히 cn=config의 데이터베이스 백엔드 구성이 엉망이 될 수 있습니다. 이것은 자신의 발을 쏘기에 완벽한 계정입니다.
따라서 저는 귀하의 LDAP 관리자의 의견에 동의합니다. 그렇게 하지 마십시오.
OpenDJ에서 적절하게 승인한 개인 관리자 계정을 사용하세요.ACI설정. 또한 누가 무엇을 했는지에 대한 더 나은 로그 및 작업 속성 정보를 제공합니다.