 |
HowTo: |
Anonyme LDAP-Anmeldungen in einer Umgebung unter Windows 2003 (und höher) zulassen |
Bei der Benutzung des LDAP-Protocols sind prinzipiell anonyme
Anmeldungen und Verzeichniszugriffe vorgesehen. Dies kann
z.B. notwendig sein, um eine öffentlichen Zugriff auf
Adressbuch-Informationen zu gewähren. Man spricht auch
von einem "Bind als Anonymous" (Bind ist die Bezeichnung
für eine Anmeldung an einem LDAP-Server). In Windows
2000 Forests ist dies auch standardmäßig erlaubt.
Auf welche Objekte und Attribute man nach
der anonymen Anmeldung zugreifen darf, entscheidet sich daran,
welche Berechti-gungen für die Einträge ANONYMOUS
LOGON und Everyone in den betreffenden
ACLs vorhanden sind.
In einem ADS Forest unter Windows 2003 (oder höher)
wird der anonyme LDAP-Zugriff zunächst prinzipiell auf
den rootDSE-Eintrag
(Root Directory Service Entry) beschränkt. Man kann
also z.B. eine Liste der Naming Contextes oder die ADS-Version
des Forests auslesen.
Wenn man jedoch anonym auf die Normalen Objekte und Attribute
des Forests zugreifen möchte, so muss dies erst durch
einen globalen Schalter erlaubt werden. Es handelt sich dabei
um das ADS-Attribut dsHeuristic. Dies ist
eine Attribut-Eigenschaft folgendes Objektes:
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=root,DC=com
Hierbei ist es wichtig, dass es sich bei der Domänen-Angabe im vorliegenden LDAP-Pfadnamen um die Root-Domain des Forests handelt. Um den anonymen Zugriff nun zu erlauben, muss dass 7. Zeichen in der dsHeuristics Zeichenkette auf 2 gesetzt werden. Standardmäßig steht der gesamte Wert auf "0000000". Dies gilt auch, wenn das Attribut garnicht gesetzt ist (wie oben im Screenshot zu sehen ist).
Achten Sie darauf, dass bei einem evtl. schon vorher gesetzten
Wert die anderen Stellen der Zeichenkette nicht verändert
werden dürfen.
Es handelt sich hier übrigens um einen Wert in der Configuration
Partition - die Einstellung ist also global für den gesamten
ADS Forest und wird durch die ADS-Synchronisation auf alle
Domänencontroller verteilt.