Con slapd.conf podría deshabilitar globalmente el enlace anónimo y requerir autenticación con las siguientes directivas estáticas:
disallow bind_anon
require authc
¿Cómo puedo lograr la misma configuración global, pero usando el nuevo método de configuración en vivo cn = config?
No es que las ACL de quanta sean algo malo, sino para responder a su pregunta:
ldapmodify
dn: cn = config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
-dn: olcDatabase = {- 1} frontend, cn = tipo de cambio de configuración
: modificar
agregar: olcRequires
olcRequires: authc
Tenga en cuenta que ldapmodify es sensible a los espacios (finales), por lo que una copia directa no funcionará (y es posible que tampoco se autentique correctamente). Además, el dn que use necesitará acceso de escritura a cn = config db.
La variación sobre el mismo tema, lo probé, funciona: consejos de seguridad LDAP en SysadminTalk
Resumen:
1) Cree un archivo, llamémoslo disable_anon_frontend.ldifcon el siguiente contenido:
dn: olcDatabase={-1}frontend,cn=config
add: olcRequires
olcRequires: authc
2) Cree otro archivo llamado disable_anon_backend.ldifcon el siguiente contenido:
dn: olcDatabase={1}hdb,cn=config
add: olcRequires
olcRequires: authc
3) Luego, en el servidor, modifique el LDAP emitiendo los siguientes comandos:
sudo ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f disable_anon_frontend.ldif
sudo ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f disable_anon_backend.ldif
4) Verifique ejecutando la siguiente consulta anon: ldapsearch -x -LLL -H ldap:/// -b dc=example,dc=domain,dc=com dn(use su dc=...configuración según corresponda).
Si ve el mensaje de error a continuación, el acceso anónimo se ha deshabilitado correctamente:
Server is unwilling to perform (53)
Additional information: authentication required
¡Buena suerte!
No lo he probado, pero prueba algo como esto:
fuente