OpenLDAP ACL para impedir que usuários anônimos obtenham uma lista de todos os grupos

3

Estou tentando proteger a instalação existente do OpenLDAP, onde é necessário permitir que usuários anônimos recuperem informações sobre registros, se souberem da entrada específica do usuário no LDAP. Assuma a estrutura como abaixo:

dc=example,dc=com
  ou=People
    uid=user1
    uid=user2
  ou=Groups
    cn=user1
      memberUid:user1
    cn=user2
      memberUid:user2
    cn=common
      memberUid:user1
      memberUid:user2

Agora, se o anonimo souber que a entrada uid = user1 existe no LDAP, ele poderá recuperar a lista de grupos em que esse usuário é membro. No entanto, eles não devem ser capazes de descobrir outros grupos.

Assim, ldapsearch -b "ou=Groups,dc=example,dc=com" não deve retornar nada, enquanto ldapsearch -b "ou=Groups,dc=example,dc=com" "(&(objectClass=posixGroup)(memberUid=user1))" deve retornar todos os grupos em que user1 é membro.

Eu tentei algumas ACLs diferentes sem sorte até agora. Ou a pesquisa está funcionando, mas também pode listar todos os grupos ou não pode listar todos os grupos, mas a pesquisa não está funcionando.

Existe uma maneira de alcançar o comportamento desejado usando ACLs?

PS: O banco de dados usa o esquema nis padrão, uma vez que o banco de dados já tem dados mudando para rfc2307bis não é uma opção (e há outras razões pelas quais tal mudança não é possível neste caso).

    
por Alexey Kamenskiy 14.09.2017 / 08:24

1 resposta

2

Eu não acho que isso seja possível desta maneira, já que você não pode restringir quais grupos podem ser lidos. No entanto, o OpenLDAP oferece uma maneira alternativa que pode ajudá-lo. Isso é chamado de "Manutenção de Grupo Inversa" (consulte o Capítulo 12.8 nos documentos (desatualizados) ) com a porcentagemmemberOf overlay. Basicamente, ele mantém uma lista de todos os grupos dos quais um usuário é membro, o que permite pesquisas fáceis desse tipo de informação.

Para ajuda sobre como fazer isso da maneira moderna, com cn=config , procure aqui .

    
por 14.09.2017 / 08:46

Tags