PAM의 바인드 사용자에 대한 ACL?

tag-icon tag-icon pam ldap sssd
PAM의 바인드 사용자에 대한 ACL?

나는 설치했다389-ds그리고 사용자와 여러 그룹을 만들었습니다. 그런 다음 해당 인스턴스를 사용하여 사용자를 인증하도록 authconfig클라이언트에서 구성했습니다 . LDAP이 사용자로 성공적으로 로그인했습니다. 여태까지는 그런대로 잘됐다.

이제 익명 액세스를 끄고 싶습니다.

dn: cn=config
replace: nsslapd-allow-anonymous-access
nsslapd-allow-anonymous-access: off

기본적으로 익명 바인딩이 사용 되므로 and 를 넣고 인스턴스에 사용자를 생성 해야 PAM합니다 . 문제 없습니다.binddnbindpw/etc/pam_ldap.confLDAP

어디에서도 찾을 수 없는 문서는 binddn이 "사용자"에게 모든 사용자의 비밀번호를 볼 수 있도록 일종의 액세스 제어 목록을 제공해야 하는지 여부입니다.

binddn첫 번째 질문: 사용자를 위해 ACL을 구성해야 합니까?

PAM사용자가 존재하는지 확인할 만큼 바인딩이 길며, 실제 인증 시도는 URA(User Requested Access)로 바인딩된다는 취지의 댓글을 봤습니다 . 이것은 내 누락된 링크의 몇 문장입니다. 그래서 나는 돌아가서 그 장면의 확장을 찾으려고 노력할 수 없습니다. PAM이렇게 작동 한다면 특정 ACL이 필요하지 않겠죠?

질문 2: PAM binddnURA를 검색할 수만 있어야 합니까, 아니면 추가 권한이 필요합니까?

2014-09-21 22:38

위에서 언급했듯이 익명 액세스를 끄고 dirsrv 인스턴스의 액세스 로그에서 흥미로운 것을 발견했습니다.

[21/Sep/2014:22:33:45 -0700] conn=111 op=0 UNPROCESSED OPERATION - Anonymous access not allowed
[21/Sep/2014:22:33:45 -0700] conn=111 op=0 RESULT err=48 tag=101 nentries=0 etime=0
[21/Sep/2014:22:33:45 -0700] conn=111 op=1 UNPROCESSED OPERATION - Anonymous access not allowed
[21/Sep/2014:22:33:45 -0700] conn=111 op=1 RESULT err=48 tag=101 nentries=0 etime=0
[21/Sep/2014:22:33:45 -0700] conn=111 op=2 UNBIND
[21/Sep/2014:22:33:45 -0700] conn=111 op=2 fd=65 closed - U1
[21/Sep/2014:22:33:45 -0700] conn=112 fd=64 slot=64 SSL connection from 127.0.0.1 to 127.0.0.1
[21/Sep/2014:22:33:45 -0700] conn=112 SSL 128-bit AES
[21/Sep/2014:22:33:45 -0700] conn=112 op=0 BIND dn="cn=dafydd2277,ou=users,dc=localdomain" method=128 version=3
[21/Sep/2014:22:33:45 -0700] conn=112 op=1 UNBIND
[21/Sep/2014:22:33:45 -0700] conn=112 op=1 fd=64 closed - U1
[21/Sep/2014:22:33:45 -0700] conn=112 op=0 RESULT err=0 tag=97 nentries=0 etime=0 dn="cn=dafydd2277,ou=users,dc=localdomain"

나는 이것을 익명 바인딩을 허용하는 로그인 시도와 비교했습니다. 이는 SRCH검색이며 실제 바인딩 시도는 아닙니다. 이것은 의미가 있습니다.

다음 실험은 익명 바인딩을 끈 상태에서 비밀번호를 변경해 보는 것입니다. 내가 직접 구속할 것인가, 아니면 PAM이 익명으로 구속을 시도할 것인가? (추측합니다...)

PAM의 접근은 검색용이라는 결론에 도달했습니다. 특정 사용자에 대한 모든 수정 사항은 해당 사용자의 자격 증명을 통해 처리됩니다. 이는 해당 사용자의 액세스 권한에 대해 걱정할 필요 없이 연결할 PAM용 사용자를 생성할 수 있음을 의미합니다.

2014-09-22 21:31

그래서 검색을 위해 PAM에 계정을 추가했는데 작동했습니다 binddn. 나쁜 소식은 여전히 ​​시도가 계속되고 있고 PAM이 현재 제가 제공한 DN을 사용하고 있다는 것을 증명할 수 없다는 것입니다. (또한 동작은 에서 또는 에서 변경되지 않습니다 . PAM과 SSS 사이의 경계는 어디입니까?) 더 많은 연구가 수행되어야 합니다...bindpw/etc/pam_ldap.confUNPROCESSED OPERATION--enablesssd--disablessdauthconfig

관련 정보