LDAP默認是允許用戶匿名訪問的,如下圖:在使用工具連接時,勾選匿名綁定后,不需要輸入UserDN和密碼就可能連接到LDAP服務器,但是只能進行read及search操作。不能做任何的修改及刪除操作。
禁止匿名訪問的方法:
1、刪除匿名訪問控制指令
2、修改匿名訪問控制指令(修改anyone為all)
====================================================================
定義用戶訪問 - userdn 關鍵字
使用 userdn 關鍵字定義用戶訪問。userdn 關鍵字需要一個或多個有效可分辨的名稱,並采用以下格式:
userdn = "ldap:///dn [|| ldap:///dn]...[||ldap:///dn]"
其中,dn 可以是 DN 或 anyone、all、self 或 parent 表達式中的某一個。這些表達式適用於以下用戶:
- userdn = "ldap:///anyone" - 同時適用於匿名用戶和經過驗證的用戶。
- userdn = "ldap:///all" - 僅適用於經過驗證的用戶。
- userdn = "ldap:///self" - 僅適用於與 ACI 目標條目相同的用戶。
- userdn = "ldap:///parent" - 僅適用於 ACI 目標的父條目。
userdn 關鍵字還可以表示成下列形式的 LDAP 過濾器
ldap:///suffix??sub?(filter) 如果 DN 包含逗號,則逗號前面必須要用反斜杠 (\) 轉義符。
匿名訪問(anyone 關鍵字)
授予對目錄的匿名訪問意味着,任何人無需提供綁定 DN 或口令就可以訪問它,並且不管綁定的情況如何。匿名訪問可以限於特定的訪問類型(例如,讀取訪問或搜索訪問)、目錄中的特定子樹或單個條目。使用anyone 關鍵字的匿名訪問也允許所有經過驗證的用戶訪問。
一般訪問(all 關鍵字)
可以使用綁定規則指出應用於已經成功地綁定到目錄的任何人的權限。因此,all 關鍵字允許所有經過驗證的用戶訪問。這將允許一般訪問,同時又可防止匿名訪問。
自訪問(self 關鍵字)
指定用戶被允許或拒絕對他們自己的條目的訪問。在這種情況下,如果綁定 DN 匹配目標條目的 DN,則允許或拒絕訪問。
父訪問(parent 關鍵字)
指定只有在用戶的綁定 DN 是目標條目的父級的情況下用戶才被允許或拒絕對該條目的訪問。請注意,必須在 Server Console 中手動編輯 ACI 以使用 parent 關鍵字。
LDAP URL
可以使用具有過濾器的 URL 動態地將 ACI 中的用戶作為目標,如下所示:
userdn = "ldap:///<suffix>??sub?(filter)"
例如,將基於下列 URL 允許或拒絕 example.com 樹的 accounting 和 engineering 分支中的所有用戶對目標資源進行訪問:
userdn = "ldap:///dc=example,dc=com??sub?(|(ou=engineering)(ou=accounting))"
不要在 LDAP URL 內指定主機名或端口號。LDAP URL 始終應用於本地服務器。
參考資料:http://docs.oracle.com/cd/E19957-01/816-6852-10/aci.html#71361