回答:
クォンタムのACLは悪いことではありませんが、質問に答えるには:
ldapmodifyの
DN:CN = configの
変更タイプ:変更
追加:olcDisallows
olcDisallows:bind_anon
-dn:olcDatabase = {-1} frontend、cn = config
changetype:modify
add:olcRequires
olcRequires:authc
ldapmodifyは(末尾の)スペースに敏感であるため、ストレートコピーペーストは機能しません(適切に認証されない場合もあります)。また、使用するDNには、cn = configデータベースへの書き込みアクセス権が必要です。
同じテーマのバリエーション、試してみました、機能します: SysadminTalkでのLDAPセキュリティーのヒント
概要:
1)ファイルを作成disable_anon_frontend.ldifし、次の内容で呼び出しましょう:
dn: olcDatabase={-1}frontend,cn=config
add: olcRequires
olcRequires: authc
2)disable_anon_backend.ldif次の内容で呼び出される別のファイルを作成します。
dn: olcDatabase={1}hdb,cn=config
add: olcRequires
olcRequires: authc
3)次に、サーバーで次のコマンドを発行してLDAPを変更します。
sudo ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f disable_anon_frontend.ldif
sudo ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f disable_anon_backend.ldif
4)次の匿名クエリを実行して確認しますldapsearch -x -LLL -H ldap:/// -b dc=example,dc=domain,dc=com dn(必要に応じてdc=...設定を使用します)。
以下のエラーメッセージが表示された場合は、匿名アクセスが正常に無効になっています。
Server is unwilling to perform (53)
Additional information: authentication required
幸運を!
私はテストしていませんが、次のようなことを試してください:
dn: olcDatabase={1}hdb,cn=config
add: olcAccess
olcAccess: to attrs=userPassword
by dn="cn=admin,dc=example,dc=com" write
by self write
by * none
olcAccess: to dn.base=""
by users read
by * none
olcAccess: to *
by dn="cn=admin,dc=example,dc=com" write
by * none