助け合いフォーラム

LinuC

LinuC Lv3-300
問題ID : 27550
問題を開く
「slapd.conf」の簡易認証の設定で、DNが指定されていない匿名バインドを許可するallowディレクティブのオプションは次のうちどれか。

この問題はプレミアムコンテンツです。

上に戻る

解答が誤っている

投稿日 2023/03/24

Linuc lv3 300 のid27550について

非認証バインドと匿名バインドの定義が逆ではありませんか。

正解
非認証バインドの許可 bind_anon_cred
匿名バインドの許可 bind_anon_dn

LPIC レベル3 300試験の学習書47ページや他のWebサイトで調べても上記の内容が掲載されています。

従ってid27550の解答も、bind_anon_dnが正解のはずです。

見解による返答をお願いします。

2023/03/26 12:29

man 5 slapd.conf には以下のようにありますね。

allow
:(省略)
bind_anon_cred allows anonymous bind when credentials are not empty (e.g. when DN is empty).
bind_anon_dn allows unauthenticated (anonymous) bind when DN is not empty.

bind_anon_cred は、認証情報が空でないとき (たとえば DN が空のとき) に anonymous bind(匿名バインド)を許可する。
bind_anon_dn は、DN が空ではないときに非認証(anonymous)バインドを許可する。
(どっちの説明にも「anonymous」入っててややこしいですけど、
bind_anon_dn の方は「unauthenticated bind」とあるので「非認証バインド」としてよいと思います)

一応manの通りで間違ってなさそうだなあと思いつつ、勉強がてら実機で検証してみました。
結論からいうと
 bind_anon_cred → 匿名バインドが許可される
 bind_anon_dn → 非認証バインドが許可される
という動作でした。つまりmanおよび今の27550での説明が正しいということになります。

非認証バインド(=DNの指定のみ、パスワード指定なし)を allow bind_anon_cred の環境下で実行すると、以下のようになりました。

# ldapsearch -x -D 'uid=bbb,ou=aaa,dc=example,dc=com' -b 'dc=example,dc=com' '(objectClass=*)'
ldap_bind: Server is unwilling to perform (53)
        additional info: unauthenticated bind (DN with no password) disallowed

「unauthenticated bind (DN with no password) disallowed(非認証バインドは許可されてません)」
というエラーが出ることから、allow bind_anon_cred では非認証バインドは許可されてないということです。
一方、同じコマンドを allow bind_anon_dn で実行すると、検索が行われて結果が返りました。

てことで、教科書を持ってないし他のWebサイトの真偽もよくわかりませんが、実際の挙動に則った説明にはなっているようです。


コメント

この返信に対して
コメントを記入できます

この投稿に対して返信しませんか?