Ciao,
Nel nostro ambiente di esercizio la versione openLdap attualmente installata a
la 2.3.39 e S.O. 5.9.
Durate delle prove di vulnerabiltà abbiamo verificato che alcuni client ldap
(ad esempio: Solaris 5.10 e HP 11.11) riescono ad ottente informzioni dal
server ldap effettuando ricerche anonime (anonymous bind?), anche se nel file
slapd.conf è presente la direttiva:
disallow bind_anon
ad esempio:
ldapsearch -h master -p 389 -b
"ou=pocascms,ou=dc_pomezia,dc=xxxx,dc=xxxxx,dc=Xxxx" 'objectClass=*'
una query di questo tipo effettuata da un sistema linux (Fedora 8) restiruisce
la seguente risposta:
ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowed
Mentre eseguendola da uno dei sistemi Solaris 5.10 e/o HP 11.11 sono visibili
tutti gli attributi presente sotto il ramo.
Per adesso per inibire questo tipo di query abbiamo aggiunto la seguente
restrizione nelle ACL presenti nei nostri slapd.conf:
by anonymous auth
E sembra funzionare.
Avete avuto già segnalazioni circa questo problema? Avete qualche idea per una
soluzione che non vada a modificare le ACL?
Saluti,
Mirko.
Saluti
Mirko Stefanelli
________________
Gruppo CASC
Consultant
c/o Telecom Italia
Palazzina A - Piano 1° - 340 06 33 560
S.S.148 Pontina Km. 29,100 - 00040 POMEZIA (RM)
[EMAIL PROTECTED]
_______________________________________________
OpenLDAP mailing list
[email protected]
https://www.sys-net.it/mailman/listinfo/openldap
