Stefanelli Mirko ha scritto:
Ciao,
Nel nostro ambiente di esercizio la versione openLdap attualmente
installata a la 2.3.39 e S.O. 5.9.
Durate delle prove di vulnerabiltà abbiamo verificato che alcuni
client ldap (ad esempio: Solaris 5.10 e HP 11.11) riescono ad ottente
informzioni dal server ldap effettuando ricerche anonime (anonymous
bind?), anche se nel file slapd.conf è presente la direttiva:
disallow bind_anon
ad esempio:
ldapsearch -h master -p 389 -b
"ou=pocascms,ou=dc_pomezia,dc=xxxx,dc=xxxxx,dc=Xxxx" 'objectClass=*'
una query di questo tipo effettuata da un sistema linux (Fedora 8)
restiruisce la seguente risposta:
ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowed
Mentre eseguendola da uno dei sistemi Solaris 5.10 e/o HP 11.11 sono
visibili tutti gli attributi presente sotto il ramo.
Per adesso per inibire questo tipo di query abbiamo aggiunto la
seguente restrizione nelle ACL presenti nei nostri slapd.conf:
by anonymous auth
E sembra funzionare.
Avete avuto già segnalazioni circa questo problema? Avete qualche idea
per una soluzione che non vada a modificare le ACL?
Sarebbe interessante vedere i log di slapd in concomitanza con queste
operazioni di search...
Ing. Luca Scamoni
Responsabile Ricerca e Sviluppo
SysNet s.r.l.
via Dossi, 8 - 27100 Pavia - ITALIA
http://www.sys-net.it
-----------------------------------
Office: +39 0382 573859 (137)
Mobile: +39 347 1014425
Email: [EMAIL PROTECTED]
-----------------------------------
_______________________________________________
OpenLDAP mailing list
[email protected]
https://www.sys-net.it/mailman/listinfo/openldap
