git.sur5r.net Git - openldap/blob - doc/guide/admin/security.sdf

   1 # Copyright 1999-2001, The OpenLDAP Foundation, All Rights Reserved.
   2 # COPYING RESTRICTIONS APPLY, see COPYRIGHT.
   3
   4 H1: Security Considerations
   5
   6 OpenLDAP Software is designed to run in a wide variety of computing
   7 environments from tightly-controlled closed networks to the global
   8 Internet.  Hence, OpenLDAP Software provides many different security
   9 mechanisms.  This chapter describes these mechanisms and discusses
  10 security considerations for using OpenLDAP Software.
  11
  12 H2: Host Security
  13
  14 H2: Network Security
  15
  16 H3: Selective Hearing
  17
  18 By default, {{slapd}}(8) will listen on both the IPv4 and IPv6 "any"
  19 addresses.  It is often desirable to have {{slapd}} listen on select
  20 address/port pairs.  For example, listening only on the IPv4 address
  21 127.0.0.1 will disallow remote access to the directory server.
  22
  23 While the server can be configured to listen on a particular interface
  24 address, this doesn't necessarily restrict access to the server to
  25 only those networks accessible via that interface.   To selective
  26 restrict remote access, it is recommend that an IP Firewall be
  27 used to restrict access.
  28
  29 See {{SECT:Command-line Options}} and {{slapd}}(8) for more
  30 information.
  31
  32
  33 H3: IP Firewall
  34
  35 IP firewall capabilities of the server system can be used to restrict
  36 access based upon the client's IP address and/or network interface
  37 used to communicate with the client.
  38
  39 Generally, slapd(8) listens on port 389/tcp for LDAP over TCP (e.g.
  40 ldap://) and port 636/tcp for LDAP over SSL (e.g.  ldaps://).
  41
  42 As specifics of how to configure IP firewall are dependent on the
  43 particular kind of IP firewall used, no examples are provided here.
  44 See the document associated with your IP firewall.
  45
  46
  47 H3: TCP Wrappers
  48
  49 OpenLDAP supports TCP wrappers.  TCP wrappers provide a rule-based
  50 access control system for controlling TCP/IP access to the server.
  51 For example, the {{host_options}}(5) rule:
  52
  53 >       slapd: 10.0.0.0/255.0.0.0 127.0.0.1 : ALLOW
  54 >       slapd: ALL : DENY
  55
  56 allows only incoming connections from the private network 10 and
  57 localhost (127.0.0.1) to access the directory service.
  58
  59 It is noted that TCP wrappers require the connection to be accepted.
  60 As significant processing is required just to deny a connection,
  61 it is generally advised that IP firewall protection be
  62 used instead of TCP wrappers.
  63
  64 See {{hosts_access}}(5) for more information on TCP wrapper rules.