Recentemente, ingressei em uma organização e obtive privilégios para adicionar/remover entradas ou dizer atributos para o LDAP (OpenDJ ldap e opensource LINUX base ldap).
Até agora, adicionei milhares de modificações e atributos sem problemas, mas o mais estranho quando adicionei um atributo ao LDAP que foi criado logo depois, vejo que parece alguns caracteres confusos para um dos valores (ou seja, IP) e eu removeu-o instantaneamente e corrigiu isso por meio das credenciais do Directory Manager.
Meu administrador do LDAP me ligou e me disse para não usar o acesso do Gerenciador de diretórios para adicionar algo que pode corromper o banco de dados LDAP usando a senha do Gerenciador de diretórios. Não fiquei convencido e perguntei como, mas não obtive resposta.
É verdade que alterar um valor para um grupo especial e especialmente um atributo pode danificar todo o LDAP?
Qualquer explicação será útil.
O ponto é que a conta cn=Directory Manager é criada no momento da instalação e usada para executar o restante da configuração. (Esqueci os detalhes, mas o OpenDJ permite ter várias dessas entradas de administrador.)
O ponto é que essas entidades administrativas não estão sujeitas a nenhum controle ou restrição de acesso. Especialmente, pode atrapalhar a configuração do back-end do banco de dados em cn=config. A conta perfeita para usar para dar um tiro no próprio pé.
Portanto, concordo com o administrador do LDAP: não faça isso.
Use uma conta de administrador pessoal devidamente autorizada pelas configurações ACI do OpenDJ . Isso também fornece informações melhores em logs e atributos operacionais sobre quem fez o quê.