OpenLdap配置

Question

非常简单的问题:是否有一种方法可以配置ldap服务器，使其只接受kerberos身份验证并拒绝任何其他类型。

我几乎100%肯定这是可以做到的，我只是不知道如何-在配置文件中的一些毫无疑问。

干杯

Answer 1

您可以尝试在配置中使用require选项，或者使用olcRequires作为ldif格式。

根据文件要求

指定一组条件(用空格分隔)以要求(默认为无)。指令可以在全局和/或每个数据库中指定；数据库继承全局条件，因此每个数据库规范是可加性的。绑定要求在目录操作之前进行绑定操作。LDAPv3要求会话使用LDAP版本3. authc需要在目录操作之前进行身份验证。SASL需要在目录操作之前进行SASL身份验证。强要求在目录操作之前进行强身份验证。强关键字允许受保护的“简单”身份验证以及SASL身份验证。可以不使用任何条件(用于清除特定数据库中的全局设置条件)；它必须首先出现在条件列表中。

对于olcRequires

指定一组所需的条件(默认为无)。指令可以在全局和/或每个数据库中指定；数据库继承全局条件，因此每个数据库规范是可加性的。绑定要求在目录操作之前进行绑定操作。LDAPv3要求会话使用LDAP版本3. authc需要在目录操作之前进行身份验证。SASL需要在目录操作之前进行SASL身份验证。强要求在目录操作之前进行强身份验证。强关键字允许受保护的“简单”身份验证以及SASL身份验证。可以不使用任何条件(用于清除特定数据库中的全局设置条件)；它必须首先出现在条件列表中。

这里需要SASL，因为Kerberos v5实现了GSSAPI。

除此之外，我无法告诉您，因为我不知道任何限制LDAP服务器中允许的身份验证类型的配置。