Stefanelli Mirko wrote:
> Ciao,
>
> Nel nostro ambiente di esercizio la versione openLdap attualmente installata
> a la 2.3.39 e S.O. 5.9.
>
> Durate delle prove di vulnerabiltà abbiamo verificato che alcuni client ldap
> (ad esempio: Solaris 5.10 e HP 11.11) riescono ad ottente informzioni dal
> server ldap effettuando ricerche anonime (anonymous bind?), anche se nel file
> slapd.conf è presente la direttiva:
>
> disallow bind_anon
>
> ad esempio:
>
> ldapsearch -h master -p 389 -b
> "ou=pocascms,ou=dc_pomezia,dc=xxxx,dc=xxxxx,dc=Xxxx" 'objectClass=*'
>
> una query di questo tipo effettuata da un sistema linux (Fedora 8)
> restiruisce la seguente risposta:
>
> ldap_bind: Inappropriate authentication (48)
> additional info: anonymous bind disallowed
>
> Mentre eseguendola da uno dei sistemi Solaris 5.10 e/o HP 11.11 sono visibili
> tutti gli attributi presente sotto il ramo.
Da slapd.conf(5) di OpenLDAP 2.3:
disallow <features>
Specify a set of features (separated by white space) to
disallow (default none). bind_anon disables acceptance of
anonymous bind requests. Note that this setting does not
prohibit anonymous directory access (See "require authc").
Questo significa che bind_anon non consente il bind anonimo, ovvero
l'operazione di bind con credenziali vuote. LDAPv3 vuole che la prima
operazione sia una bind, anche anonima, infatti il client OpenLDAP e'
educato e lo fa, da cui il comportamento che noti. Invece il client
Solaris, che evidentemente non e' LDAPv3 compliant, se non specifichi le
credenziali non fa la bind, e quindi passa. Devi usare "require authc"
per ottenere l'effetto desiderato.
Ciao, p
Ing. Pierangelo Masarati
OpenLDAP Core Team
SysNet s.r.l.
via Dossi, 8 - 27100 Pavia - ITALIA
http://www.sys-net.it
---------------------------------------
Office: +39 02 23998309
Mobile: +39 333 4963172
Email: [EMAIL PROTECTED]
---------------------------------------
_______________________________________________
OpenLDAP mailing list
[email protected]
https://www.sys-net.it/mailman/listinfo/openldap
