我最近加入了一个组织,并获得了添加/删除条目或向 LDAP(OpenDJ ldap 和开源 LINUX 基础 ldap)添加属性的权限。
到目前为止,我已经添加了数千个修改和属性,没有出现任何问题,但是当我向 LDAP 添加一个属性(该属性是在我看到其中一个值(即 IP)看起来有些混乱字符后不久创建的)时,非常尴尬,我立即将其删除并通过目录管理器凭据更正该问题。
我的 LDAP 管理员打电话给我,告诉我不要使用目录管理器访问来添加可能会使用目录管理器密码损坏 LDAP 数据库的内容。我不相信,我问怎么做,但没有得到答案。
更改特殊组和特殊属性的值是否真的会损坏整个 LDAP?
任何解释都会有帮助。
答案1
重点是账号cn=目录管理员在安装时创建并用于运行其余的安装程序。 (我忘记了细节,但是开放式DJ允许有多个这样的管理条目。)
关键是这些管理实体不受任何访问控制或限制。特别是它可能会弄乱 cn=config 中的数据库后端配置。这是一个搬起石头砸自己脚的完美帐户。
所以我同意您的 LDAP 管理员的观点:不要这样做。
使用由 OpenDJ 正确授权的个人管理员帐户ACI设置。这还为您提供了关于谁做了什么的更好的日志和操作属性信息。