LDAP binding во FreeIPA

Краткое описание специального системного аккаунта для подключения сервисов к FreeIPA через LDAP-протокол.

2020-11-15

Во FreeIPA существует специальный тип учётных записей, называемый "system account". Прямое предназначение 'system account', это организация безопасного подключения различных сервисов к LDAP, то есть LDAP binding.

Аккаунт этого типа создаётся в отдельном специальном LDAP-контейнере вручную или с помощью утилит, облегчающих эту задачу. 'System account' не имеет права записи в LDAP и полностью ограничен в возможности входа куда-либо и владении чем-либо, но имеет право чтения некоторой информации из LDAP. Политики паролей не применяются к "системным аккаунтам" и назначенный им пароль не имеет срока действия. Информация о "системных аккаунтах" скрыта от пользователей.

Проведённые на скорую руку испытания видимого горизонта для "системного аккаунта" показали, что, по умолчанию, для 'system account' доступно чтение не только содержимого контейнера 'accounts' с пользователями, группами, хостами, и т.д., но и содержимое некоторых других контейнеров. Конечно, такая ситуация не может беспокоить любого здравомыслящего ипат-внедренца и, к счастью, во FreeIPA присутствует возможность сужения видимого пространства LDAP-каталога до минимально необходимого диапазона, с помощью написания для 'system account' правил ACI.

Утилиты для создания 'system account':
- freeipa-sam

Использованные ссылки:
- FreeIPA HowTo/LDAP System Account