在为 PCI DSS 合规性开展内部 PT 工作时,它标记 LDAP(389 服务器,FreeIPA)匿名绑定允许列出用户帐户列表。
许多搜索都指向设置
nsslapd-allow-anonymous-access: off
或者
nsslapd-allow-anonymous-access: rootdse
但更改此设置似乎会破坏使用此 LDAP 服务器进行身份验证的客户端的身份验证。id不会getent返回任何信息。
我们应该如何保护 LDAP 服务器的安全,同时确保中央身份验证继续正常工作?