使用OpenLDAP軟體時的安全考慮

OpenLDAP 軟體被設計成可以在多種計算環境下運行，包括從可控的封閉網路到全域的 Internet。 因此 OpenLDAP 軟體支援許多不同的安全機制。 本章將說明這些機制並討論使用 OpenLDAP 軟體時的安全考慮。

網路安全

Selective HTTP://www.aliyun.com/zixun/aggregation/16742.html">Listening

缺省情況下，slapd(8) 將在 IPv4 和 IPv6 的任何位址上監聽。 讓 slapd 在選擇的位址／埠上監聽是很有用的。 例如只在 IPv4 位址 127.0.0.1 上進行監聽將不允許遠端存取該目錄服務。 如：

slapd -h ldap://127.0.0.1

雖然伺服器可以被配置成在某個特定介面位址監聽，但限制只有哪些網路可以通過該介面來訪問該伺服器並不是必須的。 要限制遠端存取，建議使用 IP 防火牆來進行訪問限制。

更多資訊請參見命令列選項和 slapd(8)。

IP Firewall

伺服器系統的 IP 防火牆功能可以被用來限制基於客戶 IP 位址的訪問和與用戶端進行通訊的網路介面。

通常 slapd(8) 為 ldap:// 會話在埠 389/tcp 監聽，為 ldaps:// 會話在埠 636/tcp 上監聽。 slapd(8) 也可以被配置成在其他埠上監聽。

要說明如何配置 IP 防火牆這取決於使用的是哪種 IP 防火牆，在這裡並沒有提供示例。 請自行參閱與您 IP 防火牆相關的文檔。

TCP Wrappers

slapd(8) 支援 TCP Warppers。 TCP Warppers 提供一個基於規則的存取控制系統用於控制 TCP/IP 訪問伺服器的許可權。 舉個例子，host_options(5) 規則：

slapd: 10.0.0.0/255.0.0.0 127.0.0.1 : ALLOW
slapd: ALL : DENY

只允許來自私有網路 10.0.0.0 和 localhost (127.0.0.1) 的連接訪問目錄服務。 注意作為 slapd(8) 使用的 IP 位址通常不能配置成執行反向對應。

注意 TCP Warppers 要求的連接被接受的。 如果大量的處理都只要求拒絕連接，那麼通常建議使用 IP 防火牆來代替 TCP Warppers。

關於 TCP Warppers 規則的更多資訊請參閱 hosts_access(5)。