我最近加入了一个组织,并获得了向 LDAP(OpenDJ ldap 和开源 LINUX base ldap)添加/删除条目或说属性的权限。
到目前为止,我已经毫无问题地添加了数千个修改和属性,但是当我向 LDAP 添加一个属性时非常尴尬,这个属性是在我看到它看起来是一个值(即 IP)之后不久创建的,并且我立即将其删除并通过目录管理器凭据更正。
我的 LDAP 管理员打电话给我,告诉我不要使用目录管理器访问权限来添加可能会使用目录管理器密码破坏 LDAP 数据库的东西。我不相信,我问如何但没有得到答案。
更改特殊组的值,特别是更改属性是否真的会损坏整个 LDAP?
任何解释都会有所帮助。
关键是帐户cn=Directory Manager是在安装时创建的,用于运行安装程序的其余部分。(我忘记了细节,但OpenDJ允许有几个这样的管理条目。)
关键是那些管理实体不受任何访问控制或约束。尤其是它会弄乱 cn=config 中的数据库后端配置。搬起石头砸自己脚的完美账户。
所以我同意您的 LDAP 管理员的意见:不要那样做。
使用由 OpenDJ 的ACI设置正确授权的个人管理员帐户。这还会在日志和操作属性中为您提供更好的信息,以了解谁做了什么。