Ldapsearch nur per auth

german

#1

Hallo,
grundsätzlich kann man openldap ohne Authentifizierung per ldapsearch auslesen. Gibt es die Möglichkeit nur per Authentifizierung das LDAP Verszeichnis auszulesen?
Vielen Dank für die Info!!


#2

Hallo,

kann ich via ACL einstellen, dass

  • man anonym das LDAP nicht lesen darf?
  • Nicht DomainAdmins Benutzer dhcp settings, dns settings etc nicht lesen können.
  • Nicht DomainAdmins nicht alle Benutzer und Gruppen auslesen können???

danke!

lG


#3

Hallo,

grundsätzlich besteht die Möglichkeit durch Anpassungen an den ACL’s das Auslesen des LDAP’s zu beschränken.
Hierbei ist allerdings zu Bedenken dass eine entsprechende Einschränkung ggf. umfangreiche Anpassungen an diversen UCS Interna notwendig machen würde. Eine entsprechende Konfiguration ist bisher nicht vollständig Dokumentiert und getestet worden.

Mit UCS 3.0 ist es Produktseitig möglich den anonymen Zugriff auf das LDAP zu unterbinden (bei UCS 3.0 Neuinstallationen ist der anonyme Zugriff standardmäßig deaktiviert).

Mit freundlichen Grüßen
Tobias Scherer


#4

Es würde reichen, wenn eine bestimmte IP- Adresse nur bestimmte Einträgen lesen kann, zB:

Die IP 1.2.3.4 darf nur den contrainer users lesen…

Per IP einschränken kann man mit:

openldap2.0.X: access to foo by peername="IP=1\.2\.3\.4" write by peername="IP=2\.3\.4\.5" read by * none

Nur meine Frage nun, wie würde das nun funktionierend aussehen???

danke!


#5

Hallo,

eine konkrete Konfiguration zu erarbeiten, ginge über die im Forum leistbare Hilfestellung hinaus. Wenn Sie hier konkrete Unterstützung bei der Umsetzung wünschen, wenden Sie sich bitte an Ihren vertrieblichen Ansprechpartner.

Weitere Hinweise zum Setzen von LDAP ACL’s können Sie beispielsweise unter den folgenden Links finden:
http://www.openldap.org/doc/admin24/access-control.html
http://www.zytrax.com/books/ldap/ch6/#global

Es wäre vermutlich sinnvoll vor der geschilderten “access to *” Regel eine weitere Regel einzuführen, die für den Rechner den Zugriff auf cn=users erlaubt. In der “access to *” müsste dann für die IP alles andere verboten werden.

Generell ist zu empfehlen derartige Änderungen ausschließlich in einem Testsystem zu erproben und erst nach erfolgreicher Prüfung produktiv einzusetzen.

Evtl. gibt es für das gewünschte Ziel eine weniger tief ins System eingreifende Lösung?

Mit freundlichen Grüßen
Tobias Scherer


#6

Hallo,

danke für deine Antwort!

Haben das ganze nun auf einem Testsystem mit ACLs erfolgreich getestet…

lG


#7

Hallo,

gibt es die Möglichkeit, das Sie ihre Lösung hier posten? Dann könnten andere Forenmitglieder mit ähnlichem Vorhaben ggf. davon profitieren.

Vielen Dank im Voraus.

Mit freundlichen Grüßen
Tobias Scherer


#8

Im Grunde braucht man nur eine neue ACL Regel erstellen, welche besagt, dass die IP Adressen X, Y und Z alles lesen können, der Rest darf nichts…

Alle anderen müssen sich dann eben über den Administrator authentifizieren…

Weitere Informationen findet man wie immer im Univention Handbuch :slight_smile:
univention.de/fileadmin/down … ndbuch.pdf