Respostas:
Não que as ACLs dos quanta sejam ruins, mas para responder à sua pergunta:
ldapmodify
dn: cn = config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
-dn: olcDatabase = {- 1} front-end, cn = config
changetype: modifique
add: olcRequires
olcRequires: authc
Esteja ciente de que o ldapmodify é sensível a espaços (à direita), portanto, uma pasta de cópia direta não funcionará (e poderá também não autenticar o seu corretamente). Além disso, o dn usado precisará de acesso de gravação ao cn = config db.
A variação sobre o mesmo tema, eu experimentei, funciona: dicas de segurança LDAP no SysadminTalk
Resumo:
1) Crie um arquivo, vamos chamá-lo disable_anon_frontend.ldifcom o seguinte conteúdo:
dn: olcDatabase={-1}frontend,cn=config
add: olcRequires
olcRequires: authc
2) Crie outro arquivo chamado disable_anon_backend.ldifcom o seguinte conteúdo:
dn: olcDatabase={1}hdb,cn=config
add: olcRequires
olcRequires: authc
3) Em seguida, no servidor, modifique o LDAP emitindo os seguintes comandos:
sudo ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f disable_anon_frontend.ldif
sudo ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f disable_anon_backend.ldif
4) Verifique executando a seguinte consulta anon: ldapsearch -x -LLL -H ldap:/// -b dc=example,dc=domain,dc=com dn(use suas dc=...configurações conforme aplicável).
Se você vir a mensagem de erro abaixo, o acesso anônimo foi desativado com êxito:
Server is unwilling to perform (53)
Additional information: authentication required
Boa sorte!
Eu não testei, mas tente algo como isto:
dn: olcDatabase={1}hdb,cn=config
add: olcAccess
olcAccess: to attrs=userPassword
by dn="cn=admin,dc=example,dc=com" write
by self write
by * none
olcAccess: to dn.base=""
by users read
by * none
olcAccess: to *
by dn="cn=admin,dc=example,dc=com" write
by * none