Navigation
- Startseite
- Alle Kategorien
- Univention Corporate Server (UCS)
- Installation
- Services for Windows
- Kolab2 für UCS
- Scalix für UCS
- Nagios
- Backup
- Virtualisierung
- Softwarepflege und Paketverwaltung
- Bootloader und Bootsplash
- LDAP-Server und Listener/Notifier-Replikation
- SSL-Zertifikate
- Univention Directory Manager (UDM)
- Maildienste, Viren- und Spamerkennung
- Univention Management Console (UMC)
- AD Connector
- DNS und DHCP
- Basis-Systemdienste
- Univention Configuration Registry (UCR)
- Freigaben
- Weitere Serverdienste
- 3rd Party Produkte
- Univention Corporate Desktop (UCD)
- UCS Thin Client Services (UCS TCS)
- UCS@school
- UCS Desktop Virtualization Services (DVS)
- Sitemap
FAQs in dieser Kategorie
- Replikationsstörung durch nicht beendete Prozesse beheben.
- Aktualisierung der Maschinenpasswörter in UCS Domänen.
- LDAP Server Debug-Level setzen bzw. erhöhen
- LDAP-Server erreicht Verbindungslimit
- memberOf Attribut: Gruppenmitgliedschaften an Benutzer- und Rechnerobjekten
- Wie können Rechner- und Netzwerk-Informationen über LDAP-Abfragen ausgelesen werden?
- Aktualisieren der LDAP-Indices nach einem Update
- Überprüfung der UCS-Verzeichnisdaten vor dem Update auf UCS 2.3
- Wie kann mit UCS 2.4 eine Replikation zu einem externen LDAP-Server realisiert werden?
- Wie kann der unauthentifizierte Lesezugriff auf den UCS-Verzeichnisdienst auf das lokale System beschränkt werden?
- Änderungen an Gruppen sind nicht sofort verfügbar
- Stoppen der Replikation bei geringem Speicherplatz
- Wie können Probleme in der LDAP- und Listener-/Notifier-Replikation analysiert werden?
Tags
Univention Corporate Server (UCS) » LDAP-Server und Listener/Notifier-Replikation
Wie kann der unauthentifizierte Lesezugriff auf den UCS-Verzeichnisdienst auf das lokale System beschränkt werden?
Problem:
Der UCS-Verzeichnisdienst beantwortet per Voreinstellung unauthentifizierte Leseanfragen aus dem Netz.
Lösung:
Für UCS 2.3 steht jetzt als Komponente restrictedbind eine angepasste ACL-Konfiguration für den UCS-Verzeichnisdienst bereit. Mit
der neuen Komponente wird ein angepasstes Quellpaket univention-ldap
bereitgestellt, zusammen mit den Binärpaketen, die daraus gebaut werden,
unter anderem univention-ldap-config und univention-ldap-acls-master
bzw. univention-ldap-acls-slave. Die neuen ACL-Vorlagen erlauben es,
den anonymen Lesezugriff soweit einzuschränken, dass nur Anfragen vom
lokalen System beantwortet werden. Folgende zwei neuen UCR-Variablen
werden dazu ausgewertet:
- ldap/acl/read/anonymous
- ldap/acl/read/ips
Bei der Installation des neuen univention-ldap-config Pakets werden in ldap/acl/read/ips alle aktuell gesetzten interfaces/.*/address Werte eingetragen, falls diese Variable noch nicht gesetzt ist. Dadurch haben alle Anfragen, die von einem lokalen Netzwerk-Interface kommen, Leseberechtigung auf Verzeichnisdaten, die nicht durch andere LDAP-ACLs reglementiert sind.
Das alte Verhalten kann dadurch wiederherstellt werden, indem ldap/acl/read/anonymous auf 'yes' setzt und der slapd neu gestartet wird. Die Komponente kann durch Setzen von
ucr set repository/online/component/restrictedbind=yes
als apt-Quelle eingebunden werden und dann per univention-actualise installiert werden.
Tags: -
Verwandte Artikel:
- Erneuern der SSL-Zertifikate
- Einführung in Bacula
- Relay-Auth mit UGS konfigurieren
- Wichtige Funktionen im UDM nicht verfügbar
- UDM CLI meldet: superordinate object not present
Letzte Änderung der FAQ: 2011-01-24 16:28
Autor: Arvid Requate
Revision: 1.3
Kommentieren nicht möglich