]> git.sur5r.net Git - openldap/blob - doc/guide/admin/slapdconf2.sdf
Add note about slurpd incompatibility
[openldap] / doc / guide / admin / slapdconf2.sdf
1 # $OpenLDAP$
2 # Copyright 2005, The OpenLDAP Foundation, All Rights Reserved.
3 # COPYING RESTRICTIONS APPLY, see COPYRIGHT.
4
5 H1: Configuring slapd
6
7 Once the software has been built and installed, you are ready
8 to configure {{slapd}}(8) for use at your site. Unlike previous
9 OpenLDAP releases, the slapd runtime configuration in 2.3 is
10 fully LDAP-enabled and can be managed using the standard LDAP
11 operations with data in {{TERM:LDIF}}. The LDAP configuration engine
12 allows all of slapd's configuration options to be changed on the fly,
13 generally without requiring a server restart for the changes
14 to take effect. The old style {{slapd.conf}}(5) file is still
15 supported, but must be converted to the new {{slapd.d}}(5) format
16 to allow runtime changes to be saved. While the old style
17 configuration uses a single file, normally installed as
18 {{F:/usr/local/etc/openldap/slapd.conf}}, the new style
19 uses a slapd backend database to store the configuration. The
20 configuration database normally resides in the
21 {{F:/usr/local/etc/openldap/slapd.d}} directory.
22
23 An alternate configuration directory (or file) can be specified via a
24 command-line option to {{slapd}}(8) or {{slurpd}}(8). This chapter
25 describes the general format of the configuration system, followed by a
26 detailed description of commonly used config settings.
27
28 Note: the current version of {{slurpd}} has not been updated for
29 compatibility with this new configuration engine. If you must use
30 slurpd for replication at your site, you will have to maintain an
31 old-style {{slapd.conf}} file for slurpd to use.
32
33
34 H2: Configuration Layout
35
36 The slapd configuration is stored as a special LDAP directory with
37 a predefined schema and DIT. There are specific objectClasses used to
38 carry global configuration options, schema definitions, backend and
39 database definitions, and assorted other items. A sample config tree
40 is shown in Figure 5.1.
41
42 !import "config_dit.gif"; align="center"; title="Sample configuration tree"
43 FT[align="Center"] Figure 5.1: Sample configuration tree.
44
45 Other objects may be part of the configuration but were omitted from
46 the illustration for clarity.
47
48 The {{slapd.d}} configuration tree has a very specific structure. The
49 root of the tree is named {{EX:cn=config}} and contains global configuration
50 settings. Additional settings are contained in separate child entries:
51 * Include files
52 .. Usually these are just pathnames left over from a converted
53 {{EX:slapd.conf}} file.
54 .. Otherwise use of Include files is deprecated.
55 * Dynamically loaded modules
56 .. These may only be used if the {{EX:--enable-modules}} option was
57 used to configure the software.
58 * Schema definitions
59 .. The {{EX:cn=schema,cn=config}} entry contains the system schema (all
60 the schema that is hard-coded in slapd).
61 .. Child entries of {{EX:cn=schema,cn=config}} contain user schema as
62 loaded from config files or added at runtime.
63 * Backend-specific configuration 
64 * Database-specific configuration
65 .. Overlays are defined in children of the Database entry.
66 .. Databases and Overlays may also have other miscellaneous children.
67
68 The usual rules for LDIF files apply to the configuration information:
69 Comment lines beginning with a '{{EX:#}}' character
70 are ignored.  If a line begins with white space, it is considered a
71 continuation of the previous line (even if the previous line is a
72 comment). Entries are separated by blank lines.
73
74 The general layout of the config LDIF is as follows:
75
76 >       # global configuration settings
77 >       dn: cn=config
78 >       objectClass: olcGlobal
79 >       cn: config
80 >       <global config settings>
81 >
82 >       # schema definitions
83 >       dn: cn=schema,cn=config
84 >       objectClass: olcSchemaConfig
85 >       cn: schema
86 >       <system schema>
87 >
88 >       dn: cn={X}core,cn=schema,cn=config
89 >       objectClass: olcSchemaConfig
90 >       cn: {X}core
91 >       <core schema>
92 >
93 >       # additional user-specified schema
94 >       ...
95 >
96 >       # backend definitions
97 >       dn: olcBackend=<typeA>,cn=config
98 >       objectClass: olcBackendConfig
99 >       olcBackend: <typeA>
100 >       <backend-specific settings>
101 >
102 >       # database definitions
103 >       dn: olcDatabase={X}<typeA>,cn=config
104 >       objectClass: olcDatabaseConfig
105 >       olcDatabase: {X}<typeA>
106 >       <database-specific settings>
107 >
108 >       # subsequent definitions and settings
109 >       ...
110
111 Some of the entries listed above have a numeric index {{EX:"{X}"}} in
112 their names. While most configuration settings have an inherent ordering
113 dependency (i.e., one setting must take effect before a subsequent one
114 may be set), LDAP databases are inherently unordered. The numeric index
115 is used to enforce a consistent ordering in the configuration database,
116 so that all ordering dependencies are preserved. In most cases the index
117 does not have to be provided; it will be automatically generated based
118 on the order in which entries are created.
119
120 Configuration directives are specified as values of individual
121 attributes.
122 Most of the attributes and objectClasses used in the slapd
123 configuration have a prefix of {{EX:"olc"}} (OpenLDAP Configuration)
124 in their names. Generally there is a one-to-one correspondence
125 between the attributes and the old-style {{EX:slapd.conf}} configuration
126 keywords, using the keyword as the attribute name, with the "olc"
127 prefix attached.
128
129 A configuration directive may take arguments.  If so, the arguments are
130 separated by white space.  If an argument contains white space,
131 the argument should be enclosed in double quotes {{EX:"like this"}}. If
132 an argument contains a double quote or a backslash character `{{EX:\}}',
133 the character should be preceded by a backslash character `{{EX:\}}'.
134 In the descriptions that follow, arguments that should be replaced
135 by actual text are shown in brackets {{EX:<>}}.
136
137 The distribution contains an example configuration file that will
138 be installed in the {{F: /usr/local/etc/openldap}} directory.
139 A number of files containing schema definitions (attribute types
140 and object classes) are also provided in the
141 {{F: /usr/local/etc/openldap/schema}} directory.
142
143
144 H2: Configuration Directives
145
146 This section details commonly used configuration directives.  For
147 a complete list, see the {{slapd.d}}(5) manual page.  This section
148 will treat the configuration directives in a top-down order, starting
149 with the global directives in the {{EX:cn=config}} entry. Each
150 directive will be described along with its default value (if any) and
151 an example of its use.
152
153
154 H3: cn=config
155
156 Directives contained in this entry generally apply to the server as a whole.
157 Most of them are system or connection oriented, not database related. This
158 entry must have the {{EX:olcGlobal}} objectClass.
159
160
161 H4: olcIdleTimeout: <integer>
162
163 Specify the number of seconds to wait before forcibly closing
164 an idle client connection.  A value of 0, the default,
165 disables this feature.
166
167
168 H4: olcLogLevel: <level>
169
170 This directive specifies the level at which debugging statements
171 and operation statistics should be syslogged (currently logged to
172 the {{syslogd}}(8) {{EX:LOG_LOCAL4}} facility). You must have
173 configured OpenLDAP {{EX:--enable-debug}} (the default) for this
174 to work (except for the two statistics levels, which are always
175 enabled). Log levels may be specified as integers or by keyword.
176 Multiple log levels may be used and the levels are additive.
177 To display what levels
178 correspond to what kind of debugging, invoke slapd with {{EX:-?}}
179 or consult the table below. The possible values for <level> are:
180
181 !block table; colaligns="RL"; align=Center; \
182         title="Table 5.1: Debugging Levels"
183 Level   Keyword Description
184 -1      Any     enable all debugging
185 0               no debugging
186 1       Trace   trace function calls
187 2       Packets debug packet handling
188 4       Args    heavy trace debugging
189 8       Conns   connection management
190 16      BER     print out packets sent and received
191 32      Filter  search filter processing
192 64      Config  configuration processing
193 128     ACL     access control list processing
194 256     Stats   stats log connections/operations/results
195 512     Stats2  stats log entries sent
196 1024    Shell   print communication with shell backends
197 2048    Parse   print entry parsing debugging
198 4096    Cache   database cache processing
199 8192    Index   database indexing
200 16384   Sync    syncrepl consumer processing
201 !endblock
202
203 \Example:
204
205 E: olcLogLevel: -1
206
207 This will cause lots and lots of debugging information to be
208 logged.
209
210 E: olcLogLevel: Conns Filter
211
212 Just log the connection and search filter processing.
213
214 \Default:
215
216 E: olcLogLevel: Stats
217
218
219 H4: olcReferral <URI>
220
221 This directive specifies the referral to pass back when slapd
222 cannot find a local database to handle a request.
223
224 \Example:
225
226 >       olcReferral: ldap://root.openldap.org
227
228 This will refer non-local queries to the global root LDAP server
229 at the OpenLDAP Project. Smart LDAP clients can re-ask their
230 query at that server, but note that most of these clients are
231 only going to know how to handle simple LDAP URLs that
232 contain a host part and optionally a distinguished name part.
233
234
235 H4: Sample Entry
236
237 >dn: cn=config
238 >objectClass: olcGlobal
239 >cn: config
240 >olcIdleTimeout: 30
241 >olcLogLevel: Stats
242 >olcReferral: ldap://root.openldap.org
243
244
245
246 H3: cn=include
247
248 An include entry holds the pathname of one include file. Include files
249 are part of the old style slapd.conf configuration system and must be in
250 slapd.conf format. Include files were commonly used to load schema
251 specifications. While they are still supported, their use is deprecated.
252 Include entries must have the {{EX:olcIncludeFile}} objectClass.
253
254
255 H4: olcInclude: <filename>
256
257 This directive specifies that slapd should read additional
258 configuration information from the given file. 
259
260 Note: You should be careful when using this directive - there is
261 no small limit on the number of nested include directives, and no
262 loop detection is done.
263
264
265 H4: Sample Entries
266
267 >dn: cn=include{0},cn=config
268 >objectClass: olcIncludeFile
269 >cn: include{0}
270 >olcInclude: ./schema/core.schema
271 >
272 >dn: cn=include{1},cn=config
273 >objectClass: olcIncludeFile
274 >cn: include{1}
275 >olcInclude: ./schema/cosine.schema
276
277
278 H3: cn=schema
279
280 The cn=schema entry holds all of the schema definitions that are hard-coded
281 in slapd. As such, the values in this entry are generated by slapd so no
282 schema values need to be provided in the config file. The entry must still
283 be defined though, to serve as a base for the user-defined schema to add
284 in underneath. Schema entries must have the {{EX:olcSchemaConfig}}
285 objectClass.
286
287
288 H4: olcAttributeTypes: <{{REF:RFC2252}} Attribute Type Description>
289
290 This directive defines an attribute type.
291 Please see the {{SECT:Schema Specification}} chapter
292 for information regarding how to use this directive.
293
294
295 H4: olcObjectClasses: <{{REF:RFC2252}} Object Class Description>
296
297 This directive defines an object class.
298 Please see the {{SECT:Schema Specification}} chapter for
299 information regarding how to use this directive.
300
301
302 H4: Sample Entries
303
304 >dn: cn=schema,cn=config
305 >objectClass: olcSchemaConfig
306 >cn: schema
307 >
308 >dn: cn=test,cn=schema,cn=config
309 >objectClass: olcSchemaConfig
310 >cn: test
311 >olcAttributeTypes: ( 1.1.1
312 > NAME 'testAttr'
313 > EQUALITY integerMatch
314 > SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 )
315 >olcAttributeTypes: ( 1.1.2 NAME 'testTwo' EQUALITY caseIgnoreMatch
316 > SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.44 )
317 >olcObjectClasses: ( 1.1.3 NAME 'testObject'
318 > MAY ( testAttr $ testTwo ) AUXILIARY )
319
320
321 H3: Backend-specific Directives
322
323 Backend directives apply to all database instances of the
324 same type and, depending on the directive, may be overridden
325 by database directives. Backend entries must have the
326 {{EX:olcBackendConfig}} objectClass.
327
328 H4: olcBackend: <type>
329
330 This directive names a backend-specific configuration entry.
331 {{EX:<type>}} should be one of the
332 supported backend types listed in Table 5.2.
333
334 !block table; align=Center; coltags="EX,N"; \
335         title="Table 5.2: Database Backends"
336 Types   Description
337 bdb     Berkeley DB transactional backend
338 dnssrv  DNS SRV backend
339 ldap    Lightweight Directory Access Protocol (Proxy) backend
340 ldbm    Lightweight DBM backend
341 ldif    Lightweight Data Interchange Format backend
342 meta    Meta Directory backend
343 monitor Monitor backend
344 passwd  Provides read-only access to {{passwd}}(5)
345 perl    Perl Programmable backend
346 shell   Shell (extern program) backend
347 sql     SQL Programmable backend
348 !endblock
349
350 \Example:
351
352 >       olcBackend: bdb
353
354 There are no other directives defined for this entry, so generally
355 it will not be needed. However, specific backend types may define
356 additional attributes for their particular use.
357
358
359 H4: Sample Entry
360
361 > dn: olcBackend=bdb,cn=config
362 > objectClass: olcBackendConfig
363 > olcBackend: bdb
364
365
366 H3: Database-specific Directives
367
368 Directives in this section are supported by every type of database.
369 Database entries must have the {{EX:olcDatabaseConfig}} objectClass.
370
371 H4: olcDatabase: [{<index>}]<type>
372
373 This directive names a specific database instance. The numeric {<index>} may
374 be provided to distinguish multiple databases of the same type. Usually the
375 index can be omitted, and slapd will generate it automatically.
376 {{EX:<type>}} should be one of the
377 supported backend types listed in Table 5.2 or the {{EX:frontend}} type.
378
379 The {{EX:frontend}} is a special database that is used to hold
380 database-level options that should be applied to all the other
381 databases. Subsequent database definitions may also override some
382 frontend settings.
383
384 \Example:
385
386 >       olcDatabase: bdb
387
388 This marks the beginning of a new {{TERM:BDB}} database instance.
389
390
391 H4: olcAccess: to <what> [ by <who> <accesslevel> <control> ]+
392
393 This directive grants access (specified by <accesslevel>) to a
394 set of entries and/or attributes (specified by <what>) by one or
395 more requesters (specified by <who>).
396 See the {{SECT:Access Control}} section of this chapter for a
397 summary of basic usage.
398
399 !if 0
400 More detailed discussion of this directive can be found in the
401 {{SECT:Advanced Access Control}} chapter.
402 !endif
403
404 Note: If no {{EX:olcAccess}} directives are specified, the default
405 access control policy, {{EX:to * by * read}}, allows all
406 users (both authenticated and anonymous) read access.
407
408 Note: Access controls defined in the frontend are appended to all
409 other databases' controls.
410
411
412 H4: olcReadonly { TRUE | FALSE }
413
414 This directive puts the database into "read-only" mode. Any
415 attempts to modify the database will return an "unwilling to
416 perform" error.
417
418 \Default:
419
420 >       olcReadonly: FALSE
421
422
423 H4: olcReplica
424
425 >       olcReplica: uri=ldap[s]://<hostname>[:<port>] | host=<hostname>[:<port>]
426 >               [bindmethod={simple|sasl}]
427 >               ["binddn=<DN>"]
428 >               [saslmech=<mech>]
429 >               [authcid=<identity>]
430 >               [authzid=<identity>]
431 >               [credentials=<password>]
432
433 This directive specifies a replication site for this database for
434 use with slurpd. The
435 {{EX:uri=}} parameter specifies a scheme, a host and optionally a port where
436 the slave slapd instance can be found. Either a domain name
437 or IP address may be used for <hostname>. If <port> is not
438 given, the standard LDAP port number (389 or 636) is used.
439
440 {{EX:host}} is deprecated in favor of the {{EX:uri}} parameter.
441
442 {{EX:uri}} allows the replica LDAP server to be specified as an LDAP 
443 URI such as {{EX:ldap://slave.example.com:389}} or
444 {{EX:ldaps://slave.example.com:636}}.
445
446 The {{EX:binddn=}} parameter gives the DN to bind as for updates
447 to the slave slapd. It should be a DN which has read/write access
448 to the slave slapd's database.  It must also match the {{EX:updatedn}}
449 directive in the slave slapd's config file.  Generally, this DN
450 {{should not}} be the same as the {{EX:rootdn}} of the master
451 database.  Since DNs are likely to contain embedded spaces, the
452 entire {{EX:"binddn=<DN>"}} string should be enclosed in double
453 quotes.
454
455 The {{EX:bindmethod}} is {{EX:simple}} or {{EX:sasl}},
456 depending on whether simple password-based authentication
457 or {{TERM:SASL}} authentication is to be used when connecting
458 to the slave slapd.
459
460 Simple authentication should not be used unless adequate data
461 integrity and confidentiality protections are in place (e.g. TLS
462 or IPSEC).  Simple authentication requires specification of
463 {{EX:binddn}} and {{EX:credentials}} parameters.
464
465 SASL authentication is generally recommended.  SASL authentication
466 requires specification of a mechanism using the {{EX:saslmech}} parameter.
467 Depending on the mechanism, an authentication identity and/or
468 credentials can be specified using {{EX:authcid}} and {{EX:credentials}}
469 respectively.  The {{EX:authzid}} parameter may be used to specify
470 an authorization identity.
471
472 See the chapter entitled {{SECT:Replication with slurpd}} for more
473 information on how to use this directive.
474
475
476 H4: olcReplogfile: <filename>
477
478 This directive specifies the name of the replication log file to
479 which slapd will log changes. The replication log is typically
480 written by slapd and read by slurpd. Normally, this directive is
481 only used if slurpd is being used to replicate the database.
482 However, you can also use it to generate a transaction log, if
483 slurpd is not running. In this case, you will need to periodically
484 truncate the file, since it will grow indefinitely otherwise.
485
486 See the chapter entitled {{SECT:Replication with slurpd}} for more
487 information on how to use this directive.
488
489
490 H4: olcRootDN: <DN>
491
492 This directive specifies the DN that is not subject to
493 access control or administrative limit restrictions for
494 operations on this database.  The DN need not refer to
495 an entry in this database or even in the directory. The
496 DN may refer to a SASL identity.
497
498 Entry-based Example:
499
500 >       olcRootDN: "cn=Manager,dc=example,dc=com"
501
502 SASL-based Example:
503
504 >       olcRootDN: "uid=root,cn=example.com,cn=digest-md5,cn=auth"
505
506 See the {{SECT:SASL Authentication}} section for information on
507 SASL authentication identities.
508
509
510 H4: olcRootPW: <password>
511
512 This directive can be used to specify a password for the DN for
513 the rootdn (when the rootdn is set to a DN within the database).
514
515 \Example:
516
517 >       olcRootPW: secret
518
519 It is also permissible to provide a hash of the password in RFC 2307
520 form.  {{slappasswd}}(8) may be used to generate the password hash.
521
522 \Example:
523
524 >       olcRootPW: {SSHA}ZKKuqbEKJfKSXhUbHG3fG8MDn9j1v4QN
525
526 The hash was generated using the command {{EX:slappasswd -s secret}}.
527
528
529 H4: olcSizeLimit: <integer>
530
531 This directive specifies the maximum number of entries to return
532 from a search operation.
533
534 \Default:
535
536 >       olcSizeLimit: 500
537
538
539
540 H4: olcSuffix: <dn suffix>
541
542 This directive specifies the DN suffix of queries that will be
543 passed to this backend database. Multiple suffix lines can be
544 given, and usually at least one is required for each database
545 definition. (Some backend types, such as {{EX:frontend}} and
546 {{EX:monitor}} use a hard-coded suffix which may not be overridden
547 in the configuration.)
548
549 \Example:
550
551 >       olcSuffix: "dc=example,dc=com"
552
553 Queries with a DN ending in "dc=example,dc=com"
554 will be passed to this backend.
555
556 Note: When the backend to pass a query to is selected, slapd
557 looks at the suffix value(s) in each database definition in the
558 order in which they were configured. Thus, if one database suffix is a
559 prefix of another, it must appear after it in the configuration.
560
561
562 H4: olcSyncrepl
563
564 >       olcSyncrepl: rid=<replica ID>
565 >               provider=ldap[s]://<hostname>[:port]
566 >               [type=refreshOnly|refreshAndPersist]
567 >               [interval=dd:hh:mm:ss]
568 >               [retry=[<retry interval> <# of retries>]+]
569 >               [searchbase=<base DN>]
570 >               [filter=<filter str>]
571 >               [scope=sub|one|base]
572 >               [attrs=<attr list>]
573 >               [attrsonly]
574 >               [sizelimit=<limit>]
575 >               [timelimit=<limit>]
576 >               [schemachecking=on|off]
577 >               [bindmethod=simple|sasl]
578 >               [binddn=<DN>]
579 >               [saslmech=<mech>]
580 >               [authcid=<identity>]
581 >               [authzid=<identity>]
582 >               [credentials=<passwd>]
583 >               [realm=<realm>]
584 >               [secprops=<properties>]
585
586
587 This directive specifies the current database as a replica of the
588 master content by establishing the current {{slapd}}(8) as a
589 replication consumer site running a syncrepl replication engine.
590 The master database is located at the replication provider site
591 specified by the {{EX:provider}} parameter. The replica database is
592 kept up-to-date with the master content using the LDAP Content
593 Synchronization protocol. See {{EX:draft-zeilenga-ldup-sync-xx.txt}}
594 ({{a work in progress}}) for more information on the protocol.
595
596 The {{EX:rid}} parameter is used for identification of the current
597 {{EX:syncrepl}} directive within the replication consumer server,
598 where {{EX:<replica ID>}} uniquely identifies the syncrepl specification
599 described by the current {{EX:syncrepl}} directive. {{EX:<replica ID>}}
600 is non-negative and is no more than three decimal digits in length.
601
602 The {{EX:provider}} parameter specifies the replication provider site
603 containing the master content as an LDAP URI. The {{EX:provider}}
604 parameter specifies a scheme, a host and optionally a port where the
605 provider slapd instance can be found. Either a domain name or IP
606 address may be used for <hostname>. Examples are
607 {{EX:ldap://provider.example.com:389}} or {{EX:ldaps://192.168.1.1:636}}.
608 If <port> is not given, the standard LDAP port number (389 or 636) is used.
609 Note that the syncrepl uses a consumer-initiated protocol, and hence its
610 specification is located at the consumer site, whereas the {{EX:replica}}
611 specification is located at the provider site. {{EX:syncrepl}} and
612 {{EX:replica}} directives define two independent replication
613 mechanisms. They do not represent the replication peers of each other.
614
615 The content of the syncrepl replica is defined using a search
616 specification as its result set. The consumer slapd will
617 send search requests to the provider slapd according to the search
618 specification. The search specification includes {{EX:searchbase}},
619 {{EX:scope}}, {{EX:filter}}, {{EX:attrs}}, {{EX:attrsonly}},
620 {{EX:sizelimit}}, and {{EX:timelimit}} parameters as in the normal
621 search specification. The syncrepl search specification has
622 the same value syntax and the same default values as in the
623 {{ldapsearch}}(1) client search tool.
624
625 The LDAP Content Synchronization protocol has two operation
626 types: {{EX:refreshOnly}} and {{EX:refreshAndPersist}}.
627 The operation type is specified by the {{EX:type}} parameter.
628 In the {{EX:refreshOnly}} operation, the next synchronization search operation
629 is periodically rescheduled at an interval time after each
630 synchronization operation finishes. The interval is specified
631 by the {{EX:interval}} parameter. It is set to one day by default.
632 In the {{EX:refreshAndPersist}} operation, a synchronization search
633 remains persistent in the provider slapd. Further updates to the
634 master replica will generate {{EX:searchResultEntry}} to the consumer slapd
635 as the search responses to the persistent synchronization search.
636
637 If an error occurs during replication, the consumer will attempt to reconnect
638 according to the retry parameter which is a list of the <retry interval>
639 and <# of retries> pairs. For example, retry="60 10 300 3" lets the consumer
640 retry every 60 seconds for the first 10 times and then retry every 300 seconds
641 for the next three times before stop retrying. + in <#  of retries> means
642 indefinite number of retries until success.
643
644 The schema checking can be enforced at the LDAP Sync consumer site
645 by turning on the {{EX:schemachecking}} parameter.
646 If it is turned on, every replicated entry will be checked for its
647 schema as the entry is stored into the replica content.
648 Every entry in the replica should contain those attributes
649 required by the schema definition.
650 If it is turned off, entries will be stored without checking
651 schema conformance. The default is off.
652
653 The {{EX:binddn}} parameter gives the DN to bind as for the
654 syncrepl searches to the provider slapd. It should be a DN
655 which has read access to the replication content in the
656 master database. 
657
658 The {{EX:bindmethod}} is {{EX:simple}} or {{EX:sasl}},
659 depending on whether simple password-based authentication or
660 {{TERM:SASL}} authentication is to be used when connecting
661 to the provider slapd.
662
663 Simple authentication should not be used unless adequate data
664 integrity and confidentiality protections are in place (e.g. TLS
665 or IPSEC). Simple authentication requires specification of {{EX:binddn}}
666 and {{EX:credentials}} parameters.
667
668 SASL authentication is generally recommended.  SASL authentication
669 requires specification of a mechanism using the {{EX:saslmech}} parameter.
670 Depending on the mechanism, an authentication identity and/or
671 credentials can be specified using {{EX:authcid}} and {{EX:credentials}},
672 respectively.  The {{EX:authzid}} parameter may be used to specify
673 an authorization identity.
674
675 The {{EX:realm}} parameter specifies a realm which a certain
676 mechanisms authenticate the identity within. The {{EX:secprops}}
677 parameter specifies Cyrus SASL security properties.
678
679 The syncrepl replication mechanism is supported by the
680 three native backends: back-bdb, back-hdb, and back-ldbm.
681
682 See the {{SECT:LDAP Sync Replication}} chapter of the admin guide
683 for more information on how to use this directive.
684
685
686 H4: olcTimeLimit: <integer>
687
688 This directive specifies the maximum number of seconds (in real
689 time) slapd will spend answering a search request. If a
690 request is not finished in this time, a result indicating an
691 exceeded timelimit will be returned.
692
693 \Default:
694
695 >       olcTimeLimit: 3600
696
697
698 H4: olcUpdateDN: <DN>
699
700 This directive is only applicable in a slave slapd. It specifies
701 the DN allowed to make changes to the replica.  This may be the DN
702 {{slurpd}}(8) binds as when making changes to the replica or the DN
703 associated with a SASL identity.
704
705 Entry-based Example:
706
707 >       olcUpdateDN: "cn=Update Daemon,dc=example,dc=com"
708
709 SASL-based Example:
710
711 >       olcUpdateDN: "uid=slurpd,cn=example.com,cn=digest-md5,cn=auth"
712
713 See the {{SECT:Replication with slurpd}} chapter for more information
714 on how to use this directive.
715
716 H4: olcUpdateref: <URL>
717
718 This directive is only applicable in a slave slapd. It
719 specifies the URL to return to clients which submit update
720 requests upon the replica.
721 If specified multiple times, each {{TERM:URL}} is provided.
722
723 \Example:
724
725 >       olcUpdateref:   ldap://master.example.net
726
727
728 H4: Sample Entry
729
730 >dn: olcDatabase=frontend,cn=config
731 >objectClass: olcDatabaseConfig
732 >olcDatabase: frontend
733 >olcReadOnly: FALSE
734
735 H3: BDB and HDB Database Directives
736
737 Directives in this category apply to both the {{TERM:BDB}}
738 and the {{TERM:HDB}} database.
739 They are used in an olcDatabase entry in addition to the generic
740 database directives defined above.  For a complete reference
741 of BDB/HDB configuration directives, see {{slapd-bdb}}(5). BDB and
742 HDB database entries must have the {{EX:olcBdbConfig}} objectClass.
743
744
745 H4: olcDbDirectory: <directory>
746
747 This directive specifies the directory where the BDB files
748 containing the database and associated indices live.
749
750 \Default:
751
752 >       olcDbDirectory: /usr/local/var/openldap-data
753
754
755 H4: olcDbCachesize: <integer>
756
757 This directive specifies the size in entries of the in-memory
758 cache maintained by the BDB backend database instance.
759
760 \Default:
761
762 >       olcDbCachesize: 1000
763
764
765 H4: olcDbCheckpoint: <kbyte> <min>
766
767 This directive specifies how often to checkpoint the BDB transaction log.
768 A checkpoint operation flushes the database buffers to disk and writes a
769 checkpoint record in the log.
770 The checkpoint will occur if either <kbyte> data has been written or
771 <min> minutes have passed since the last checkpont. Both arguments default
772 to zero, in which case they are ignored. When the <min> argument is
773 non-zero, an internal task will run every <min> minutes to perform the
774 checkpoint. See the Berkeley DB reference guide for more details.
775
776 \Example:
777
778 >       olcDbCheckpoint: 1024 10
779
780
781 H4: olcDbConfig: <DB_CONFIG setting>
782
783 This attribute specifies a configuration directive to be placed in the
784 {{EX:DB_CONFIG}} file of the database directory. At server startup time, if
785 no such file exists yet, the {{EX:DB_CONFIG}} file will be created and the
786 settings in this attribute will be written to it. If the file exists,
787 its contents will be read and displayed in this attribute. The attribute
788 is multi-valued, to accomodate multiple configuration directives. No default
789 is provided, but it is essential to use proper settings here to get the
790 best server performance.
791
792 \Example:
793
794 >       olcDbConfig: set_cachesize 0 10485760 0
795 >       olcDbConfig: set_lg_bsize 2097512
796 >       olcDbConfig: set_lg_dir /var/tmp/bdb-log
797 >       olcDbConfig: set_flags DB_LOG_AUTOREMOVE
798
799 In this example, the BDB cache is set to 10MB, the BDB transaction log
800 buffer size is set to 2MB, and the transaction log files are to be stored
801 in the /var/tmp/bdb-log directory. Also a flag is set to tell BDB to
802 delete transaction log files as soon as their contents have been
803 checkpointed and they are no longer needed. Without this setting the
804 transaction log files will continue to accumulate until some other
805 cleanup procedure removes them. See the SleepyCat documentation for the
806 {{EX:db_archive}} command for details.
807
808 Ideally the BDB cache must be
809 at least as large as the working set of the database, the log buffer size
810 should be large enough to accomodate most transactions without overflowing,
811 and the log directory must be on a separate physical disk from the main
812 database files. And both the database directory and the log directory
813 should be separate from disks used for regular system activities such as
814 the root, boot, or swap filesystems. See the FAQ-o-Matic and the SleepyCat
815 documentation for more details.
816
817
818 H4: olcDbNosync: <TRUE|FALSE>
819
820 This option causes on-disk database contents to not be immediately
821 synchronized with in memory changes upon change.  Setting this option
822 to TRUE may improve performance at the expense of data integrity. This
823 directive has the same effect as using
824 >       olcDbConfig: set_flags DB_TXN_NOSYNC
825
826
827 H4: olcDbIDLcacheSize: <integer>
828
829 Specify the size of the in-memory index cache, in index slots. The
830 default is zero. A larger value will speed up frequent searches of
831 indexed entries. The optimal size will depend on the data and search
832 characteristics of the database, but using a number three times
833 the entry cache size is a good starting point.
834
835 \Example:
836
837 >       olcDbIDLcacheSize: 3000
838
839
840 H4: olcDbIndex: {<attrlist> | default} [pres,eq,approx,sub,none]
841
842 This directive specifies the indices to maintain for the given
843 attribute. If only an {{EX:<attrlist>}} is given, the default
844 indices are maintained.
845
846 \Example:
847
848 >       olcDbIndex: default pres,eq
849 >       olcDbIndex: uid
850 >       olcDbIndex: cn,sn pres,eq,sub
851 >       olcDbIndex: objectClass eq
852
853 The first line sets the default set of indices to maintain to
854 present and equality.  The second line causes the default (pres,eq)
855 set of indices to be maintained for the {{EX:uid}} attribute type.
856 The third line causes present, equality, and substring indices to
857 be maintained for {{EX:cn}} and {{EX:sn}} attribute types.  The
858 fourth line causes an equality index for the {{EX:objectClass}}
859 attribute type.
860
861 By default, no indices are maintained.  It is generally advised
862 that minimally an equality index upon objectClass be maintained.
863
864 >       olcDbindex: objectClass eq
865
866 If this setting is changed while slapd is running, an internal task
867 will be run to generate the changed index data. All server operations
868 can continue as normal while the indexer does its work.  If slapd is
869 stopped before the index task completes, indexing will have to be
870 manually completed using the slapindex tool.
871
872
873 H4: olcDbLinearIndex: <TRUE|FALSE>
874
875 If this setting is {{EX:TRUE}} slapindex will index one attribute
876 at a time. The default settings is {{EX:FALSE}} in which case all
877 indexed attributes of an entry are processed at the same time. When
878 enabled, each indexed attribute is processed individually, using
879 multiple passes through the entire database. This option improves
880 slapindex performance when the database size exceeds the BDB cache
881 size. When the BDB cache is large enough, this option is not needed
882 and will decrease performance. Also by default, slapadd performs
883 full indexing and so a separate slapindex run is not needed. With
884 this option, slapadd does no indexing and slapindex must be used.
885
886
887 H4: olcDbMode: <integer>
888
889 This directive specifies the file protection mode that newly
890 created database index files should have.
891
892 \Default:
893
894 >       olcDbMode: 0600
895
896
897 H4: olcDbSearchStack: <integer>
898
899 Specify the depth of the stack used for search filter evaluation.
900 Search filters are evaluated on a stack to accomodate nested {{EX:AND}} /
901 {{EX:OR}} clauses. An individual stack is allocated for each server thread.
902 The depth of the stack determines how complex a filter can be evaluated
903 without requiring any additional memory allocation. Filters that are
904 nested deeper than the search stack depth will cause a separate stack to
905 be allocated for that particular search operation. These separate allocations
906 can have a major negative impact on server performance, but specifying
907 too much stack will also consume a great deal of memory. Each search
908 uses 512K bytes per level on a 32-bit machine, or 1024K bytes per level
909 on a 64-bit machine. The default stack depth is 16, thus 8MB or 16MB
910 per thread is used on 32 and 64 bit machines, respectively. Also the
911 512KB size of a single stack slot is set by a compile-time constant which
912 may be changed if needed; the code must be recompiled for the change
913 to take effect.
914
915 \Default:
916
917 >       olcDbSearchStack: 16
918
919
920 H4: olcDbShmKey: <integer>
921
922 Specify a key for a shared memory BDB environment. By default the BDB
923 environment uses memory mapped files. If a non-zero value is specified,
924 it will be used as the key to identify a shared memory region that will
925 house the environment.
926
927 \Example:
928
929 >       olcDbShmKey: 42
930
931
932 H4: Sample Entry
933
934 >dn: olcDatabase=hdb,cn=config
935 >objectClass: olcDatabaseConfig
936 >objectClass: olcBdbConfig
937 >olcDatabase: hdb
938 >olcSuffix: "dc=example,dc=com"
939 >olcDbDirectory: /usr/local/var/openldap-data
940 >olcDbCacheSize: 1000
941 >olcDbCheckpoint: 1024 10
942 >olcDbConfig: set_cachesize 0 10485760 0
943 >olcDbConfig: set_lg_bsize 2097152
944 >olcDbConfig: set_lg_dir /var/tmp/bdb-log
945 >olcDbConfig: set_flags DB_LOG_AUTOREMOVE
946 >olcDbIDLcacheSize: 3000
947 >olcDbIndex: objectClass eq
948
949
950 H2: Access Control
951
952 Access to slapd entries and attributes is controlled by the
953 olcAccess attribute, whose values are a sequence of access directives.
954 The general form of the olcAccess configuration is:
955
956 >       olcAccess: <access directive>
957 >       <access directive> ::= to <what>
958 >               [by <who> <access> <control>]+
959 >       <what> ::= * |
960 >               [dn[.<basic-style>]=<regex> | dn.<scope-style>=<DN>]
961 >               [filter=<ldapfilter>] [attrs=<attrlist>]
962 >       <basic-style> ::= regex | exact
963 >       <scope-style> ::= base | one | subtree | children
964 >       <attrlist> ::= <attr> [val[.<basic-style>]=<regex>] | <attr> , <attrlist>
965 >       <attr> ::= <attrname> | entry | children
966 >       <who> ::= * | [anonymous | users | self
967 >                       | dn[.<basic-style>]=<regex> | dn.<scope-style>=<DN>] 
968 >               [dnattr=<attrname>]
969 >               [group[/<objectclass>[/<attrname>][.<basic-style>]]=<regex>]
970 >               [peername[.<basic-style>]=<regex>]
971 >               [sockname[.<basic-style>]=<regex>]
972 >               [domain[.<basic-style>]=<regex>]
973 >               [sockurl[.<basic-style>]=<regex>]
974 >               [set=<setspec>]
975 >               [aci=<attrname>]
976 >       <access> ::= [self]{<level>|<priv>}
977 >       <level> ::= none | auth | compare | search | read | write
978 >       <priv> ::= {=|+|-}{w|r|s|c|x|0}+
979 >       <control> ::= [stop | continue | break]
980
981 where the <what> part selects the entries and/or attributes to which
982 the access applies, the {{EX:<who>}} part specifies which entities
983 are granted access, and the {{EX:<access>}} part specifies the
984 access granted. Multiple {{EX:<who> <access> <control>}} triplets
985 are supported, allowing many entities to be granted different access
986 to the same set of entries and attributes. Not all of these access
987 control options are described here; for more details see the
988 {{slapd.access}}(5) man page.
989
990
991 H3: What to control access to
992
993 The <what> part of an access specification determines the entries
994 and attributes to which the access control applies.  Entries are
995 commonly selected in two ways: by DN and by filter.  The following
996 qualifiers select entries by DN:
997
998 >       to *
999 >       to dn[.<basic-style>]=<regex>
1000 >       to dn.<scope-style>=<DN>
1001
1002 The first form is used to select all entries.  The second form may
1003 be used to select entries by matching a regular expression against
1004 the target entry's {{normalized DN}}.   (The second form is not
1005 discussed further in this document.)  The third form is used to
1006 select entries which are within the requested scope of DN.  The
1007 <DN> is a string representation of the Distinguished Name, as
1008 described in {{REF:RFC2253}}.
1009
1010 The scope can be either {{EX:base}}, {{EX:one}}, {{EX:subtree}},
1011 or {{EX:children}}.  Where {{EX:base}} matches only the entry with
1012 provided DN, {{EX:one}} matches the entries whose parent is the
1013 provided DN, {{EX:subtree}} matches all entries in the subtree whose
1014 root is the provided DN, and {{EX:children}} matches all entries
1015 under the DN (but not the entry named by the DN).
1016
1017 For example, if the directory contained entries named:
1018
1019 >       0: o=suffix
1020 >       1: cn=Manager,o=suffix
1021 >       2: ou=people,o=suffix
1022 >       3: uid=kdz,ou=people,o=suffix
1023 >       4: cn=addresses,uid=kdz,ou=people,o=suffix
1024 >       5: uid=hyc,ou=people,o=suffix
1025
1026 \Then:
1027 . {{EX:dn.base="ou=people,o=suffix"}} match 2;
1028 . {{EX:dn.one="ou=people,o=suffix"}} match 3, and 5;
1029 . {{EX:dn.subtree="ou=people,o=suffix"}} match 2, 3, 4, and 5; and
1030 . {{EX:dn.children="ou=people,o=suffix"}} match 3, 4, and 5.
1031
1032
1033 Entries may also be selected using a filter:
1034
1035 >       to filter=<ldap filter>
1036
1037 where <ldap filter> is a string representation of an LDAP
1038 search filter, as described in {{REF:RFC2254}}.  For example:
1039
1040 >       to filter=(objectClass=person)
1041
1042 Note that entries may be selected by both DN and filter by
1043 including both qualifiers in the <what> clause.
1044
1045 >       to dn.one="ou=people,o=suffix" filter=(objectClass=person)
1046
1047 Attributes within an entry are selected by including a comma-separated
1048 list of attribute names in the <what> selector:
1049
1050 >       attrs=<attribute list>
1051
1052 A specific value of an attribute is selected by using a single
1053 attribute name and also using a value selector:
1054
1055 >       attrs=<attribute> val[.<style>]=<regex>
1056
1057 There are two special {{pseudo}} attributes {{EX:entry}} and
1058 {{EX:children}}.  To read (and hence return) a target entry, the
1059 subject must have {{EX:read}} access to the target's {{entry}}
1060 attribute.  To add or delete an entry, the subject must have
1061 {{EX:write}} access to the entry's {{EX:entry}} attribute AND must
1062 have {{EX:write}} access to the entry's parent's {{EX:children}}
1063 attribute.  To rename an entry, the subject must have {{EX:write}}
1064 access to entry's {{EX:entry}} attribute AND have {{EX:write}}
1065 access to both the old parent's and new parent's {{EX:children}}
1066 attributes.  The complete examples at the end of this section should
1067 help clear things up.
1068
1069 Lastly, there is a special entry selector {{EX:"*"}} that is used to
1070 select any entry.  It is used when no other {{EX:<what>}}
1071 selector has been provided.  It's equivalent to "{{EX:dn=.*}}"
1072
1073
1074 H3: Who to grant access to
1075
1076 The <who> part identifies the entity or entities being granted
1077 access. Note that access is granted to "entities" not "entries."
1078 The following table summarizes entity specifiers:
1079
1080 !block table; align=Center; coltags="EX,N"; \
1081         title="Table 5.3: Access Entity Specifiers"
1082 Specifier|Entities
1083 *|All, including anonymous and authenticated users
1084 anonymous|Anonymous (non-authenticated) users
1085 users|Authenticated users
1086 self|User associated with target entry
1087 dn[.<basic-style>]=<regex>|Users matching a regular expression
1088 dn.<scope-style>=<DN>|Users within scope of a DN
1089 !endblock
1090
1091 The DN specifier behaves much like <what> clause DN specifiers.
1092
1093 Other control factors are also supported.  For example, a {{EX:<who>}}
1094 can be restricted by an entry listed in a DN-valued attribute in
1095 the entry to which the access applies:
1096
1097 >       dnattr=<dn-valued attribute name>
1098
1099 The dnattr specification is used to give access to an entry
1100 whose DN is listed in an attribute of the entry (e.g., give
1101 access to a group entry to whoever is listed as the owner of
1102 the group entry).
1103
1104 Some factors may not be appropriate in all environments (or any).
1105 For example, the domain factor relies on IP to domain name lookups.
1106 As these can easily spoofed, the domain factor should not be avoided.
1107
1108
1109 H3: The access to grant
1110
1111
1112 The kind of <access> granted can be one of the following:
1113
1114
1115 !block table; colaligns="LRL"; coltags="EX,EX,N"; align=Center; \
1116         title="Table 5.4: Access Levels"
1117 Level   Privileges      Description
1118 none    =0              no access
1119 auth    =x              needed to bind
1120 compare =cx             needed to compare
1121 search  =scx            needed to apply search filters
1122 read    =rscx           needed to read search results
1123 write   =wrscx          needed to modify/rename
1124 !endblock
1125
1126 Each level implies all lower levels of access. So, for
1127 example, granting someone {{EX:write}} access to an entry also
1128 grants them {{EX:read}}, {{EX:search}}, {{EX:compare}}, and 
1129 {{EX:auth}} access.  However, one may use the privileges specifier
1130 to grant specific permissions.
1131
1132
1133 H3: Access Control Evaluation
1134
1135 When evaluating whether some requester should be given access to
1136 an entry and/or attribute, slapd compares the entry and/or attribute
1137 to the {{EX:<what>}} selectors given in the configuration.
1138 For each entry, access controls provided in the database which holds
1139 the entry (or the first database if not held in any database) apply
1140 first, followed by the global access directives (which are held in
1141 the {{EX:frontend}} database definition).  Within this
1142 priority, access directives are examined in the order in which they
1143 appear in the configuration attribute.  Slapd stops with the first {{EX:<what>}}
1144 selector that matches the entry and/or attribute. The corresponding
1145 access directive is the one slapd will use to evaluate access.
1146
1147 Next, slapd compares the entity requesting access to the {{EX:<who>}}
1148 selectors within the access directive selected above in the order
1149 in which they appear. It stops with the first {{EX:<who>}} selector
1150 that matches the requester. This determines the access the entity
1151 requesting access has to the entry and/or attribute.
1152
1153 Finally, slapd compares the access granted in the selected
1154 {{EX:<access>}} clause to the access requested by the client. If
1155 it allows greater or equal access, access is granted. Otherwise,
1156 access is denied.
1157
1158 The order of evaluation of access directives makes their placement
1159 in the configuration file important. If one access directive is
1160 more specific than another in terms of the entries it selects, it
1161 should appear first in the configuration. Similarly, if one {{EX:<who>}}
1162 selector is more specific than another it should come first in the
1163 access directive. The access control examples given below should
1164 help make this clear.
1165
1166
1167
1168 H3: Access Control Examples
1169
1170 The access control facility described above is quite powerful.  This
1171 section shows some examples of its use for descriptive purposes.
1172
1173 A simple example:
1174
1175 >       olcAccess: to * by * read
1176
1177 This access directive grants read access to everyone.
1178
1179 >       olcAccess: to *
1180 >               by self write
1181 >               by anonymous auth
1182 >               by * read
1183
1184 This directive allows the user to modify their entry, allows anonymous
1185 to authenticate against these entries, and allows all others to
1186 read these entries.  Note that only the first {{EX:by <who>}} clause
1187 which matches applies.  Hence, the anonymous users are granted
1188 {{EX:auth}}, not {{EX:read}}.  The last clause could just as well
1189 have been "{{EX:by users read}}".
1190
1191 It is often desirable to restrict operations based upon the level
1192 of protection in place.  The following shows how security strength
1193 factors (SSF) can be used.
1194
1195 >       olcAccess: to *
1196 >               by ssf=128 self write
1197 >               by ssf=64 anonymous auth
1198 >               by ssf=64 users read
1199
1200 This directive allows users to modify their own entries if security
1201 protections of strength 128 or better have been established,
1202 allows authentication access to anonymous users, and read access
1203 when strength 64 or better security protections have been established.  If
1204 the client has not establish sufficient security protections, the
1205 implicit {{EX:by * none}} clause would be applied.
1206
1207 The following example shows the use of style specifiers to select
1208 the entries by DN in two access directives where ordering is
1209 significant.
1210
1211 >       olcAccess: to dn.children="dc=example,dc=com"
1212 >               by * search
1213 >       olcAccess: to dn.children="dc=com"
1214 >               by * read
1215
1216 Read access is granted to entries under the {{EX:dc=com}} subtree,
1217 except for those entries under the {{EX:dc=example,dc=com}} subtree,
1218 to which search access is granted.  No access is granted to
1219 {{EX:dc=com}} as neither access directive matches this DN.  If the
1220 order of these access directives was reversed, the trailing directive
1221 would never be reached, since all entries under {{EX:dc=example,dc=com}}
1222 are also under {{EX:dc=com}} entries.
1223
1224 Also note that if no {{EX:olcAccess: to}} directive matches or no {{EX:by
1225 <who>}} clause, {{B:access is denied}}.  That is, every {{EX:olcAccess:
1226 to}} directive ends with an implicit {{EX:by * none}} clause and
1227 every access list ends with an implicit {{EX:olcAccess: to * by * none}}
1228 directive.
1229
1230 The next example again shows the importance of ordering, both of
1231 the access directives and the {{EX:by <who>}} clauses.  It also
1232 shows the use of an attribute selector to grant access to a specific
1233 attribute and various {{EX:<who>}} selectors.
1234
1235 >       olcAccess: to dn.subtree="dc=example,dc=com" attr=homePhone
1236 >               by self write
1237 >               by dn.children=dc=example,dc=com" search
1238 >               by peername.regex=IP:10\..+ read
1239 >       olcAccess: to dn.subtree="dc=example,dc=com"
1240 >               by self write
1241 >               by dn.children="dc=example,dc=com" search
1242 >               by anonymous auth
1243
1244 This example applies to entries in the "{{EX:dc=example,dc=com}}"
1245 subtree. To all attributes except {{EX:homePhone}}, an entry can
1246 write to itself, entries under {{EX:example.com}} entries can search
1247 by them, anybody else has no access (implicit {{EX:by * none}})
1248 excepting for authentication/authorization (which is always done
1249 anonymously).  The {{EX:homePhone}} attribute is writable by the
1250 entry, searchable by entries under {{EX:example.com}}, readable by
1251 clients connecting from network 10, and otherwise not readable
1252 (implicit {{EX:by * none}}).  All other access is denied by the
1253 implicit {{EX:access to * by * none}}.
1254
1255 Sometimes it is useful to permit a particular DN to add or
1256 remove itself from an attribute. For example, if you would like to
1257 create a group and allow people to add and remove only
1258 their own DN from the member attribute, you could accomplish
1259 it with an access directive like this:
1260
1261 >       olcAccess: to attr=member,entry
1262 >               by dnattr=member selfwrite
1263
1264 The dnattr {{EX:<who>}} selector says that the access applies to
1265 entries listed in the {{EX:member}} attribute. The {{EX:selfwrite}} access
1266 selector says that such members can only add or delete their
1267 own DN from the attribute, not other values. The addition of
1268 the entry attribute is required because access to the entry is
1269 required to access any of the entry's attributes.
1270
1271
1272
1273 H3: Access Control Ordering
1274
1275 Since the ordering of {{EX:olcAccess}} directives is essential to their
1276 proper evaluation, but LDAP attributes normally do not preserve the
1277 ordering of their values, OpenLDAP uses a custom schema extension to
1278 maintain a fixed ordering of these values. This ordering is maintained
1279 by prepending a {{EX:"{X}"}} numeric index to each value, similarly to
1280 the approach used for ordering the configuration entries. These index
1281 tags are maintained automatically by slapd and do not need to be specified
1282 when originally defining the values. For example, when you create the
1283 settings
1284
1285 >       olcAccess: to attr=member,entry
1286 >               by dnattr=member selfwrite
1287 >       olcAccess: to dn.children="dc=example,dc=com"
1288 >               by * search
1289 >       olcAccess: to dn.children="dc=com"
1290 >               by * read
1291
1292 when you read them back using slapcat or ldapsearch they will contain
1293
1294 >       olcAccess: {0}to attr=member,entry
1295 >               by dnattr=member selfwrite
1296 >       olcAccess: {1}to dn.children="dc=example,dc=com"
1297 >               by * search
1298 >       olcAccess: {2}to dn.children="dc=com"
1299 >               by * read
1300
1301 The numeric index may be used to specify a particular value to change
1302 when using ldapmodify to edit the access rules. This index can be used
1303 instead of (or in addition to) the actual access value. Using this 
1304 numeric index is very helpful when multiple access rules are being managed.
1305
1306 For example, if we needed to change the second rule above to grant
1307 write access instead of search, we could try this LDIF:
1308
1309 >       changetype: modify
1310 >       delete: olcAccess
1311 >       olcAccess: to dn.children="dc=example,dc=com" by * search
1312 >       -
1313 >       add: olcAccess
1314 >       olcAccess: to dn.children="dc=example,dc=com" by * write
1315 >       -
1316
1317 But this example {{B:will not}} guarantee that the existing values remain in
1318 their original order, so it will most likely yield a broken security
1319 configuration. Instead, the numeric index should be used:
1320
1321 >       changetype: modify
1322 >       delete: olcAccess
1323 >       olcAccess: {1}
1324 >       -
1325 >       add: olcAccess
1326 >       olcAccess: {1}to dn.children="dc=example,dc=com" by * write
1327 >       -
1328
1329 This example deletes whatever rule is in value #1 of the {{EX:olcAccess}}
1330 attribute (regardless of its value) and adds a new value that is
1331 explicitly inserted as value #1. The result will be
1332
1333 >       olcAccess: {0}to attr=member,entry
1334 >               by dnattr=member selfwrite
1335 >       olcAccess: {1}to dn.children="dc=example,dc=com"
1336 >               by * write
1337 >       olcAccess: {2}to dn.children="dc=com"
1338 >               by * read
1339
1340 which is exactly what was intended.
1341
1342 !if 0
1343 For more details on how to use the {{EX:access}} directive,
1344 consult the {{Advanced Access Control}} chapter.
1345 !endif
1346
1347
1348 H2: Configuration Example
1349
1350 The following is an example configuration, interspersed
1351 with explanatory text. It defines two databases to handle
1352 different parts of the {{TERM:X.500}} tree; both are {{TERM:BDB}}
1353 database instances. The line numbers shown are provided for
1354 reference only and are not included in the actual file. First, the
1355 global configuration section:
1356
1357 E:  1.  # example config file - global configuration entry
1358 E:  2.  dn: cn=config
1359 E:  3.  objectClass: olcGlobal
1360 E:  4.  cn: config
1361 E:  5.  olcReferral: ldap://root.openldap.org
1362 E:  6.  
1363
1364 Line 1 is a comment. Lines 2-4 identify this as the global
1365 configuration entry.
1366 The {{EX:olcReferral:}} directive on line 5
1367 means that queries not local to one of the databases defined
1368 below will be referred to the LDAP server running on the
1369 standard port (389) at the host {{EX:root.openldap.org}}.
1370 Line 6 is a blank line, indicating the end of this entry.
1371
1372 E:  7.  # internal schema
1373 E:  8.  dn: cn=schema,cn=config
1374 E:  9.  objectClass: olcSchemaConfig
1375 E: 10.  cn: schema
1376 E: 11.  
1377
1378 Line 7 is a comment. Lines 8-10 identify this as the root of
1379 the schema subtree. The actual schema definitions in this entry
1380 are hardcoded into slapd so no additional attributes are specified here.
1381 Line 11 is a blank line, indicating the end of this entry.
1382
1383 E: 12.  # include the core schema
1384 E: 13.  include: file:///usr/local/etc/openldap/schema/core.ldif
1385 E: 14.  
1386
1387 Line 12 is a comment. Line 13 is an LDIF include directive which
1388 accesses the {{core}} schema definitions in LDIF format. Line 14
1389 is a blank line.
1390
1391 Next comes the database definitions. The first database is the
1392 special {{EX:frontend}} database whose settings are applied globally
1393 to all the other databases.
1394
1395 E: 15.  # global database parameters
1396 E: 16.  dn: olcDatabase=frontend,cn=config
1397 E: 17.  objectClass: olcDatabaseConfig
1398 E: 18.  olcDatabase: frontend
1399 E: 19.  olcAccess: to * by * read
1400 E: 20.  
1401
1402 Line 15 is a comment. Lines 16-18 identify this entry as the global
1403 database entry. Line 19 is a global access control. It applies to all
1404 entries (after any applicable database-specific access controls).
1405
1406 The next entry defines a BDB backend that will handle queries for things
1407 in the "dc=example,dc=com" portion of the tree. Indices are to be maintained
1408 for several attributes, and the {{EX:userPassword}} attribute is to be
1409 protected from unauthorized access.
1410
1411 E: 21.  # BDB definition for example.com
1412 E: 22.  dn: olcDatabase=bdb,cn=config
1413 E: 23.  objectClass: olcDatabaseConfig
1414 E: 24.  olcDatabase: bdb
1415 E: 25.  olcSuffix: "dc=example,dc=com"
1416 E: 26.  olcDbDirectory: /usr/local/var/openldap-data
1417 E: 27.  olcRootDN: "cn=Manager,dc=example,dc=com"
1418 E: 28.  olcRootPW: secret
1419 E: 29.  olcDbIndex: uid pres,eq
1420 E: 30.  olcDbIndex: cn,sn,uid pres,eq,approx,sub
1421 E: 31.  olcDbIndex: objectClass eq
1422 E: 32.  olcAccess: to attr=userPassword
1423 E: 33.    by self write
1424 E: 34.    by anonymous auth
1425 E: 35.    by dn.base="cn=Admin,dc=example,dc=com" write
1426 E: 36.    by * none
1427 E: 37.  olcAccess: to *
1428 E: 38.    by self write
1429 E: 39.    by dn.base="cn=Admin,dc=example,dc=com" write
1430 E: 40.    by * read
1431 E: 41.  
1432
1433 Line 21 is a comment. Lines 22-24 identify this entry as a BDB database
1434 configuration entry.  Line 25 specifies the DN suffix
1435 for queries to pass to this database. Line 26 specifies the directory
1436 in which the database files will live.
1437
1438 Lines 27 and 28 identify the database {{super-user}} entry and associated
1439 password. This entry is not subject to access control or size or
1440 time limit restrictions.
1441
1442 Lines 29 through 31 indicate the indices to maintain for various
1443 attributes.
1444
1445 Lines 32 through 40 specify access control for entries in this
1446 database.  As this is the first database, the controls also apply
1447 to entries not held in any database (such as the Root DSE).  For
1448 all applicable entries, the {{EX:userPassword}} attribute is writable
1449 by the entry itself and by the "admin" entry.  It may be used for
1450 authentication/authorization purposes, but is otherwise not readable.
1451 All other attributes are writable by the entry and the "admin"
1452 entry, but may be read by all users (authenticated or not).
1453
1454 Line 41 is a blank line, indicating the end of this entry.
1455
1456 The next section of the example configuration file defines another
1457 BDB database. This one handles queries involving the
1458 {{EX:dc=example,dc=net}} subtree but is managed by the same entity
1459 as the first database.  Note that without line 50, the read access
1460 would be allowed due to the global access rule at line 19.
1461
1462 E: 42.  # BDB definition for example.net
1463 E: 43.  dn: olcDatabase=bdb,cn=config
1464 E: 44.  objectClass: olcDatabaseConfig
1465 E: 45.  olcDatabase: bdb
1466 E: 46.  olcSuffix: "dc=example,dc=net"
1467 E: 47.  olcDbDirectory: /usr/local/var/openldap-data-net
1468 E: 48.  olcRootDN: "cn=Manager,dc=example,dc=com"
1469 E: 49.  olcDbIndex: objectClass eq
1470 E: 50.  olcAccess: to * by users read