<div dir="ltr"><div>DISREGARD!</div><div><br></div>Sorry all, do not actually try my query, it makes authentication not work at least on CentOS6.<div><br></div><div>Here is the doc I actually read the first time: <a href="http://docs.fedoraproject.org/en-US/Fedora/15/html/FreeIPA_Guide/disabling-anon-binds.html">http://docs.fedoraproject.org/en-US/Fedora/15/html/FreeIPA_Guide/disabling-anon-binds.html</a> (google search led me here)</div><div>... which says to turn it off, while the one I linked above: <a href="http://docs.fedoraproject.org/en-US/Fedora/18/html/FreeIPA_Guide/disabling-anon-binds.html">http://docs.fedoraproject.org/en-US/Fedora/18/html/FreeIPA_Guide/disabling-anon-binds.html</a> says to set it to "rootdse" which allows the necessary access for detecting configuration, but blocks access to directory data.</div><div><br></div><div>I just mis-read it on the F18 docs.</div><div><br></div><div>Sorry for the noise :)</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Sep 23, 2014 at 5:11 PM, Tommy McNeely <span dir="ltr"><<a href="mailto:tommythekid@gmail.com" target="_blank">tommythekid@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi all,<div><br></div><div>I have seen the documentation on how to disable anonymous access *completely* at <a href="http://docs.fedoraproject.org/en-US/Fedora/18/html/FreeIPA_Guide/disabling-anon-binds.html" target="_blank">http://docs.fedoraproject.org/en-US/Fedora/18/html/FreeIPA_Guide/disabling-anon-binds.html</a></div><div><br></div><div>However, I think that those base rootdse queries are probably important. I originally thought they only happened when running "ipa-client-install" but some quick tailing of the access log indicates to me that they happen a lot.</div><div><br></div><div>So, instead of flipping the big switch in cn=config, has anyone considered just removing anonymous access to the *directory* data like:</div><div><br></div><div><div># Remove Anonymous Access to main directory</div><div>dn: dc=example,dc=com</div><div>changetype: modify</div><div>delete: aci</div><div>aci: (target != "ldap:///idnsname=*,cn=dns,dc=example,dc=com")(targetatt</div><div> r != "userPassword || krbPrincipalKey || sambaLMPassword || sambaNTPassword |</div><div> | passwordHistory || krbMKey || userPKCS12 || ipaNTHash || ipaNTTrustAuthOutg</div><div> oing || ipaNTTrustAuthIncoming")(version 3.0; acl "Enable Anonymous access"; </div><div> allow (read, search, compare) userdn = "ldap:///anyone";)</div></div><div><br></div><div><br></div><div><br></div><div>Would that work without breaking things? Do we have any information on what "broken" systems require anonymous LDAP binds and which ones do not?</div><div><br></div><div>Thanks in advance,</div><div>Tommy</div></div>
</blockquote></div><br></div>