]> git.sur5r.net Git - openldap/blob - doc/man/man5/slapd-config.5
no need to mention replog any longer (ITS#7562)
[openldap] / doc / man / man5 / slapd-config.5
1 .TH SLAPD-CONFIG 5 "RELEASEDATE" "OpenLDAP LDVERSION"
2 .\" Copyright 1998-2013 The OpenLDAP Foundation All Rights Reserved.
3 .\" Copying restrictions apply.  See COPYRIGHT/LICENSE.
4 .\" $OpenLDAP$
5 .SH NAME
6 slapd\-config \- configuration backend to slapd
7 .SH SYNOPSIS
8 ETCDIR/slapd.d
9 .SH DESCRIPTION
10 The
11 .B config
12 backend manages all of the configuration information for the
13 .BR slapd (8)
14 daemon.  This configuration information is also used by the SLAPD tools
15 .BR slapacl (8),
16 .BR slapadd (8),
17 .BR slapauth (8),
18 .BR slapcat (8),
19 .BR slapdn (8),
20 .BR slapindex (8),
21 and
22 .BR slaptest (8).
23 .LP
24 The
25 .B config
26 backend is backward compatible with the older
27 .BR slapd.conf (5)
28 file but provides the ability to change the configuration dynamically
29 at runtime. If slapd is run with only a
30 .B slapd.conf
31 file dynamic changes will be allowed but they will not persist across
32 a server restart. Dynamic changes are only saved when slapd is running
33 from a
34 .B slapd.d
35 configuration directory.
36 .LP
37
38 Unlike other backends, there can only be one instance of the
39 .B config
40 backend, and most of its structure is predefined. The root of the
41 database is hardcoded to
42 .B "cn=config"
43 and this root entry contains
44 global settings for slapd. Multiple child entries underneath the
45 root entry are used to carry various other settings:
46 .RS
47 .TP
48 .B cn=Module
49 dynamically loaded modules
50 .TP
51 .B cn=Schema
52 schema definitions
53 .TP
54 .B olcBackend=xxx
55 backend-specific settings
56 .TP
57 .B olcDatabase=xxx
58 database-specific settings
59 .RE
60
61 The
62 .B cn=Module
63 entries will only appear in configurations where slapd
64 was built with support for dynamically loaded modules. There can be
65 multiple entries, one for each configured module path. Within each
66 entry there will be values recorded for each module loaded on a
67 given path. These entries have no children.
68
69 The
70 .B cn=Schema
71 entry contains all of the hardcoded schema elements.
72 The children of this entry contain all user-defined schema elements.
73 In schema that were loaded from include files, the child entry will
74 be named after the include file from which the schema was loaded.
75 Typically the first child in this subtree will be
76 .BR cn=core,cn=schema,cn=config .
77
78 .B olcBackend
79 entries are for storing settings specific to a single
80 backend type (and thus global to all database instances of that type).
81 At present there are no backends that implement settings of this
82 nature, so usually there will not be any olcBackend entries.
83
84 .B olcDatabase
85 entries store settings specific to a single database
86 instance. These entries may have
87 .B olcOverlay
88 child entries corresponding
89 to any overlays configured on the database. The olcDatabase and
90 olcOverlay entries may also have miscellaneous child entries for
91 other settings as needed. There are two special database entries
92 that are predefined - one is an entry for the config database itself,
93 and the other is for the "frontend" database. Settings in the
94 frontend database are inherited by the other databases, unless
95 they are explicitly overridden in a specific database.
96 .LP
97 The specific configuration options available are discussed below in the
98 Global Configuration Options, General Backend Options, and General Database
99 Options. Options are set by defining LDAP attributes with specific values.
100 In general the names of the LDAP attributes are the same as the corresponding
101 .B slapd.conf
102 keyword, with an "olc" prefix added on.
103
104 The parser for many of these attributes is the same as used for parsing
105 the slapd.conf keywords. As such, slapd.conf keywords that allow multiple
106 items to be specified on one line, separated by whitespace, will allow
107 multiple items to be specified in one attribute value. However, when
108 reading the attribute via LDAP, the items will be returned as individual
109 attribute values.
110
111 Backend-specific options are discussed in the
112 .B slapd\-<backend>(5)
113 manual pages.  Refer to the "OpenLDAP Administrator's Guide" for more
114 details on configuring slapd.
115 .SH GLOBAL CONFIGURATION OPTIONS
116 Options described in this section apply to the server as a whole.
117 Arguments that should be replaced by 
118 actual text are shown in brackets <>.
119
120 These options may only be specified in the
121 .B cn=config
122 entry. This entry must have an objectClass of
123 .BR olcGlobal .
124
125 .TP
126 .B olcAllows: <features>
127 Specify a set of features to allow (default none).
128 .B bind_v2
129 allows acceptance of LDAPv2 bind requests.  Note that
130 .BR slapd (8)
131 does not truly implement LDAPv2 (RFC 1777), now Historic (RFC 3494).
132 .B bind_anon_cred
133 allows anonymous bind when credentials are not empty (e.g.
134 when DN is empty).
135 .B bind_anon_dn
136 allows unauthenticated (anonymous) bind when DN is not empty.
137 .B update_anon
138 allows unauthenticated (anonymous) update operations to be processed
139 (subject to access controls and other administrative limits).
140 .B proxy_authz_anon
141 allows unauthenticated (anonymous) proxy authorization control to be processed
142 (subject to access controls, authorization and other administrative limits).
143 .TP
144 .B olcArgsFile: <filename>
145 The (absolute) name of a file that will hold the 
146 .B slapd
147 server's command line (program name and options).
148 .TP
149 .B olcAttributeOptions: <option-name>...
150 Define tagging attribute options or option tag/range prefixes.
151 Options must not end with `\-', prefixes must end with `\-'.
152 The `lang\-' prefix is predefined.
153 If you use the
154 .B olcAttributeOptions
155 directive, `lang\-' will no longer be defined and you must specify it
156 explicitly if you want it defined.
157
158 An attribute description with a tagging option is a subtype of that
159 attribute description without the option.
160 Except for that, options defined this way have no special semantics.
161 Prefixes defined this way work like the `lang\-' options:
162 They define a prefix for tagging options starting with the prefix.
163 That is, if you define the prefix `x\-foo\-', you can use the option
164 `x\-foo\-bar'.
165 Furthermore, in a search or compare, a prefix or range name (with
166 a trailing `\-') matches all options starting with that name, as well
167 as the option with the range name sans the trailing `\-'.
168 That is, `x\-foo\-bar\-' matches `x\-foo\-bar' and `x\-foo\-bar\-baz'.
169
170 RFC 4520 reserves options beginning with `x\-' for private experiments.
171 Other options should be registered with IANA, see RFC 4520 section 3.5.
172 OpenLDAP also has the `binary' option built in, but this is a transfer
173 option, not a tagging option.
174 .TP
175 .B olcAuthIDRewrite: <rewrite\-rule>
176 Used by the authentication framework to convert simple user names
177 to an LDAP DN used for authorization purposes.
178 Its purpose is analogous to that of
179 .BR olcAuthzRegexp
180 (see below).
181 The
182 .B rewrite\-rule
183 is a set of rules analogous to those described in
184 .BR slapo\-rwm (5)
185 for data rewriting (after stripping the \fIrwm\-\fP prefix).
186 .B olcAuthIDRewrite
187 and
188 .B olcAuthzRegexp
189 should not be intermixed.
190 .TP
191 .B olcAuthzPolicy: <policy>
192 Used to specify which rules to use for Proxy Authorization.  Proxy
193 authorization allows a client to authenticate to the server using one
194 user's credentials, but specify a different identity to use for authorization
195 and access control purposes. It essentially allows user A to login as user
196 B, using user A's password.
197 The
198 .B none
199 flag disables proxy authorization. This is the default setting.
200 The
201 .B from
202 flag will use rules in the
203 .I authzFrom
204 attribute of the authorization DN.
205 The
206 .B to
207 flag will use rules in the
208 .I authzTo
209 attribute of the authentication DN.
210 The
211 .B any
212 flag, an alias for the deprecated value of
213 .BR both ,
214 will allow any of the above, whatever succeeds first (checked in
215 .BR to ,
216 .B from
217 sequence.
218 The
219 .B all
220 flag requires both authorizations to succeed.
221 .LP
222 .RS
223 The rules are mechanisms to specify which identities are allowed 
224 to perform proxy authorization.
225 The
226 .I authzFrom
227 attribute in an entry specifies which other users
228 are allowed to proxy login to this entry. The
229 .I authzTo
230 attribute in
231 an entry specifies which other users this user can authorize as.  Use of
232 .I authzTo
233 rules can be easily
234 abused if users are allowed to write arbitrary values to this attribute.
235 In general the
236 .I authzTo
237 attribute must be protected with ACLs such that
238 only privileged users can modify it.
239 The value of
240 .I authzFrom
241 and
242 .I authzTo
243 describes an 
244 .B identity 
245 or a set of identities; it can take five forms:
246 .RS
247 .TP
248 .B ldap:///<base>??[<scope>]?<filter>
249 .RE
250 .RS
251 .B dn[.<dnstyle>]:<pattern>
252 .RE
253 .RS
254 .B u[<mech>[<realm>]]:<pattern>
255 .RE
256 .RS
257 .B group[/objectClass[/attributeType]]:<pattern>
258 .RE
259 .RS
260 .B <pattern>
261 .RE
262 .RS
263
264 .B <dnstyle>:={exact|onelevel|children|subtree|regex}
265
266 .RE
267 The first form is a valid LDAP
268 .B URI
269 where the 
270 .IR <host>:<port> ,
271 the
272 .I <attrs>
273 and the
274 .I <extensions>
275 portions must be absent, so that the search occurs locally on either
276 .I authzFrom
277 or 
278 .IR authzTo .
279 The second form is a 
280 .BR DN ,
281 with the optional style modifiers
282 .IR exact ,
283 .IR onelevel ,
284 .IR children ,
285 and
286 .I subtree
287 for exact, onelevel, children and subtree matches, which cause 
288 .I <pattern>
289 to be normalized according to the DN normalization rules, or the special
290 .I regex
291 style, which causes the
292 .I <pattern>
293 to be treated as a POSIX (''extended'') regular expression, as
294 discussed in
295 .BR regex (7)
296 and/or
297 .BR re_format (7).
298 A pattern of
299 .I *
300 means any non-anonymous DN.
301 The third form is a SASL
302 .BR id ,
303 with the optional fields
304 .I <mech>
305 and
306 .I <realm>
307 that allow to specify a SASL
308 .BR mechanism ,
309 and eventually a SASL
310 .BR realm ,
311 for those mechanisms that support one.
312 The need to allow the specification of a mechanism is still debated, 
313 and users are strongly discouraged to rely on this possibility.
314 The fourth form is a group specification, consisting of the keyword
315 .BR group ,
316 optionally followed by the specification of the group
317 .B objectClass
318 and member
319 .BR attributeType .
320 The group with DN
321 .B <pattern>
322 is searched with base scope, and in case of match, the values of the
323 member
324 .B attributeType
325 are searched for the asserted DN.
326 For backwards compatibility, if no identity type is provided, i.e. only
327 .B <pattern>
328 is present, an
329 .I exact DN
330 is assumed; as a consequence, 
331 .B <pattern>
332 is subjected to DN normalization.
333 Since the interpretation of
334 .I authzFrom
335 and
336 .I authzTo
337 can impact security, users are strongly encouraged 
338 to explicitly set the type of identity specification that is being used.
339 A subset of these rules can be used as third arg in the 
340 .B olcAuthzRegexp
341 statement (see below); significantly, the 
342 .I URI
343 and the
344 .I dn.exact:<dn> 
345 forms.
346 .RE
347 .TP
348 .B olcAuthzRegexp: <match> <replace>
349 Used by the authentication framework to convert simple user names,
350 such as provided by SASL subsystem, to an LDAP DN used for
351 authorization purposes.  Note that the resultant DN need not refer
352 to an existing entry to be considered valid.  When an authorization
353 request is received from the SASL subsystem, the SASL 
354 .BR USERNAME ,
355 .BR REALM , 
356 and
357 .B MECHANISM
358 are taken, when available, and combined into a name of the form
359 .RS
360 .RS
361 .TP
362 .B UID=<username>[[,CN=<realm>],CN=<mechanism>],CN=auth
363
364 .RE
365 This name is then compared against the
366 .B match
367 POSIX (''extended'') regular expression, and if the match is successful,
368 the name is replaced with the
369 .B replace
370 string.  If there are wildcard strings in the 
371 .B match
372 regular expression that are enclosed in parenthesis, e.g. 
373 .RS
374 .TP
375 .B UID=([^,]*),CN=.*
376
377 .RE
378 then the portion of the name that matched the wildcard will be stored
379 in the numbered placeholder variable $1. If there are other wildcard strings
380 in parenthesis, the matching strings will be in $2, $3, etc. up to $9. The 
381 placeholders can then be used in the 
382 .B replace
383 string, e.g. 
384 .RS
385 .TP
386 .B UID=$1,OU=Accounts,DC=example,DC=com 
387
388 .RE
389 The replaced name can be either a DN, i.e. a string prefixed by "dn:",
390 or an LDAP URI.
391 If the latter, the server will use the URI to search its own database(s)
392 and, if the search returns exactly one entry, the name is
393 replaced by the DN of that entry.   The LDAP URI must have no
394 hostport, attrs, or extensions components, but the filter is mandatory,
395 e.g.
396 .RS
397 .TP
398 .B ldap:///OU=Accounts,DC=example,DC=com??one?(UID=$1)
399
400 .RE
401 The protocol portion of the URI must be strictly
402 .BR ldap .
403 Note that this search is subject to access controls.  Specifically,
404 the authentication identity must have "auth" access in the subject.
405
406 Multiple 
407 .B olcAuthzRegexp 
408 values can be specified to allow for multiple matching 
409 and replacement patterns. The matching patterns are checked in the order they 
410 appear in the attribute, stopping at the first successful match.
411
412 .\".B Caution:
413 .\"Because the plus sign + is a character recognized by the regular expression engine,
414 .\"and it will appear in names that include a REALM, be careful to escape the
415 .\"plus sign with a backslash \\+ to remove the character's special meaning.
416 .RE
417 .TP
418 .B olcConcurrency: <integer>
419 Specify a desired level of concurrency.  Provided to the underlying
420 thread system as a hint.  The default is not to provide any hint. This setting
421 is only meaningful on some platforms where there is not a one to one
422 correspondence between user threads and kernel threads.
423 .TP
424 .B olcConnMaxPending: <integer>
425 Specify the maximum number of pending requests for an anonymous session.
426 If requests are submitted faster than the server can process them, they
427 will be queued up to this limit. If the limit is exceeded, the session
428 is closed. The default is 100.
429 .TP
430 .B olcConnMaxPendingAuth: <integer>
431 Specify the maximum number of pending requests for an authenticated session.
432 The default is 1000.
433 .TP
434 .B olcDisallows: <features>
435 Specify a set of features to disallow (default none).
436 .B bind_anon
437 disables acceptance of anonymous bind requests.  Note that this setting
438 does not prohibit anonymous directory access (See "require authc").
439 .B bind_simple
440 disables simple (bind) authentication.
441 .B tls_2_anon
442 disables forcing session to anonymous status (see also
443 .BR tls_authc )
444 upon StartTLS operation receipt.
445 .B tls_authc
446 disallows the StartTLS operation if authenticated (see also
447 .BR tls_2_anon ).
448 .TP
449 .B olcGentleHUP: { TRUE | FALSE }
450 A SIGHUP signal will only cause a 'gentle' shutdown-attempt:
451 .B Slapd
452 will stop listening for new connections, but will not close the
453 connections to the current clients.  Future write operations return
454 unwilling-to-perform, though.  Slapd terminates when all clients
455 have closed their connections (if they ever do), or - as before -
456 if it receives a SIGTERM signal.  This can be useful if you wish to
457 terminate the server and start a new
458 .B slapd
459 server
460 .B with another database,
461 without disrupting the currently active clients.
462 The default is FALSE.  You may wish to use
463 .B olcIdleTimeout
464 along with this option.
465 .TP
466 .B olcIdleTimeout: <integer>
467 Specify the number of seconds to wait before forcibly closing
468 an idle client connection.  A setting of 0 disables this
469 feature.  The default is 0. You may also want to set the
470 .B olcWriteTimeout
471 option.
472 .TP
473 .B olcIndexHash64: { on | off }
474 Use a 64 bit hash for indexing. The default is to use 32 bit hashes.
475 These hashes are used for equality and substring indexing. The 64 bit
476 version may be needed to avoid index collisions when the number of
477 indexed values exceeds ~64 million. (Note that substring indexing
478 generates multiple index values per actual attribute value.)
479 Indices generated with 32 bit hashes are incompatible with the 64 bit
480 version, and vice versa. Any existing databases must be fully reloaded
481 when changing this setting. This directive is only supported on 64 bit CPUs.
482 .TP
483 .B olcIndexIntLen: <integer>
484 Specify the key length for ordered integer indices. The most significant
485 bytes of the binary integer will be used for index keys. The default
486 value is 4, which provides exact indexing for 31 bit values.
487 A floating point representation is used to index too large values.
488 .TP
489 .B olcIndexSubstrIfMaxlen: <integer>
490 Specify the maximum length for subinitial and subfinal indices. Only
491 this many characters of an attribute value will be processed by the
492 indexing functions; any excess characters are ignored. The default is 4.
493 .TP
494 .B olcIndexSubstrIfMinlen: <integer>
495 Specify the minimum length for subinitial and subfinal indices. An
496 attribute value must have at least this many characters in order to be
497 processed by the indexing functions. The default is 2.
498 .TP
499 .B olcIndexSubstrAnyLen: <integer>
500 Specify the length used for subany indices. An attribute value must have
501 at least this many characters in order to be processed. Attribute values
502 longer than this length will be processed in segments of this length. The
503 default is 4. The subany index will also be used in subinitial and
504 subfinal index lookups when the filter string is longer than the
505 .I olcIndexSubstrIfMaxlen
506 value.
507 .TP
508 .B olcIndexSubstrAnyStep: <integer>
509 Specify the steps used in subany index lookups. This value sets the offset
510 for the segments of a filter string that are processed for a subany index
511 lookup. The default is 2. For example, with the default values, a search
512 using this filter "cn=*abcdefgh*" would generate index lookups for
513 "abcd", "cdef", and "efgh".
514
515 .LP
516 Note: Indexing support depends on the particular backend in use. Also,
517 changing these settings will generally require deleting any indices that
518 depend on these parameters and recreating them with
519 .BR slapindex (8).
520
521 .TP
522 .B olcListenerThreads: <integer>
523 Specify the number of threads to use for the connection manager.
524 The default is 1 and this is typically adequate for up to 16 CPU cores.
525 The value should be set to a power of 2.
526 .TP
527 .B olcLocalSSF: <SSF>
528 Specifies the Security Strength Factor (SSF) to be given local LDAP sessions,
529 such as those to the ldapi:// listener.  For a description of SSF values,
530 see 
531 .BR olcSaslSecProps 's
532 .B minssf
533 option description.  The default is 71.
534 .TP
535 .B olcLogFile: <filename>
536 Specify a file for recording debug log messages. By default these messages
537 only go to stderr and are not recorded anywhere else. Specifying a logfile
538 copies messages to both stderr and the logfile.
539 .TP
540 .B olcLogLevel: <integer> [...]
541 Specify the level at which debugging statements and operation 
542 statistics should be syslogged (currently logged to the
543 .BR syslogd (8) 
544 LOG_LOCAL4 facility).
545 They must be considered subsystems rather than increasingly verbose 
546 log levels.
547 Some messages with higher priority are logged regardless 
548 of the configured loglevel as soon as any logging is configured.
549 Log levels are additive, and available levels are:
550 .RS
551 .RS
552 .PD 0
553 .TP
554 .B 1
555 .B (0x1 trace)
556 trace function calls
557 .TP
558 .B 2
559 .B (0x2 packets)
560 debug packet handling
561 .TP
562 .B 4
563 .B (0x4 args)
564 heavy trace debugging (function args)
565 .TP
566 .B 8
567 .B (0x8 conns)
568 connection management
569 .TP
570 .B 16
571 .B (0x10 BER)
572 print out packets sent and received
573 .TP
574 .B 32
575 .B (0x20 filter)
576 search filter processing
577 .TP
578 .B 64
579 .B (0x40 config)
580 configuration file processing
581 .TP
582 .B 128
583 .B (0x80 ACL)
584 access control list processing
585 .TP
586 .B 256
587 .B (0x100 stats)
588 stats log connections/operations/results
589 .TP
590 .B 512
591 .B (0x200 stats2)
592 stats log entries sent
593 .TP
594 .B 1024
595 .B (0x400 shell)
596 print communication with shell backends
597 .TP
598 .B 2048
599 .B (0x800 parse)
600 entry parsing
601 \".TP
602 \".B 4096
603 \".B (0x1000 cache)
604 \"caching (unused)
605 \".TP
606 \".B 8192
607 \".B (0x2000 index)
608 \"data indexing (unused)
609 .TP
610 .B 16384
611 .B (0x4000 sync)
612 LDAPSync replication
613 .TP
614 .B 32768
615 .B (0x8000 none)
616 only messages that get logged whatever log level is set
617 .PD
618 .RE
619 The desired log level can be input as a single integer that combines 
620 the (ORed) desired levels, both in decimal or in hexadecimal notation,
621 as a list of integers (that are ORed internally),
622 or as a list of the names that are shown between brackets, such that
623 .LP
624 .nf
625     olcLogLevel: 129
626     olcLogLevel: 0x81
627     olcLogLevel: 128 1
628     olcLogLevel: 0x80 0x1
629     olcLogLevel: acl trace
630 .fi
631 .LP
632 are equivalent.
633 The keyword 
634 .B any
635 can be used as a shortcut to enable logging at all levels (equivalent to \-1).
636 The keyword
637 .BR none ,
638 or the equivalent integer representation, causes those messages
639 that are logged regardless of the configured olcLogLevel to be logged.
640 In fact, if no olcLogLevel (or a 0 level) is defined, no logging occurs, 
641 so at least the 
642 .B none
643 level is required to have high priority messages logged.
644 .RE
645 .TP
646 .B olcPasswordCryptSaltFormat: <format>
647 Specify the format of the salt passed to
648 .BR crypt (3)
649 when generating {CRYPT} passwords (see
650 .BR olcPasswordHash )
651 during processing of LDAP Password Modify Extended Operations (RFC 3062).
652
653 This string needs to be in
654 .BR sprintf (3)
655 format and may include one (and only one) %s conversion.
656 This conversion will be substituted with a string of random
657 characters from [A\-Za\-z0\-9./].  For example, "%.2s"
658 provides a two character salt and "$1$%.8s" tells some
659 versions of crypt(3) to use an MD5 algorithm and provides
660 8 random characters of salt.  The default is "%s", which
661 provides 31 characters of salt.
662 .TP
663 .B olcPidFile: <filename>
664 The (absolute) name of a file that will hold the 
665 .B slapd
666 server's process ID (see
667 .BR getpid (2)).
668 .TP
669 .B olcPluginLogFile: <filename>
670 The ( absolute ) name of a file that will contain log
671 messages from
672 .B SLAPI
673 plugins. See
674 .BR slapd.plugin (5)
675 for details.
676 .TP
677 .B olcReferral: <url>
678 Specify the referral to pass back when
679 .BR slapd (8)
680 cannot find a local database to handle a request.
681 If multiple values are specified, each url is provided.
682 .TP
683 .B olcReverseLookup: TRUE | FALSE
684 Enable/disable client name unverified reverse lookup (default is 
685 .BR FALSE 
686 if compiled with \-\-enable\-rlookups).
687 .TP
688 .B olcRootDSE: <file>
689 Specify the name of an LDIF(5) file containing user defined attributes
690 for the root DSE.  These attributes are returned in addition to the
691 attributes normally produced by slapd.
692
693 The root DSE is an entry with information about the server and its
694 capabilities, in operational attributes.
695 It has the empty DN, and can be read with e.g.:
696 .ti +4
697 ldapsearch \-x \-b "" \-s base "+"
698 .br
699 See RFC 4512 section 5.1 for details.
700 .TP
701 .B olcSaslAuxprops: <plugin> [...]
702 Specify which auxprop plugins to use for authentication lookups. The
703 default is empty, which just uses slapd's internal support. Usually
704 no other auxprop plugins are needed.
705 .TP
706 .B olcSaslHost: <fqdn>
707 Used to specify the fully qualified domain name used for SASL processing.
708 .TP
709 .B olcSaslRealm: <realm>
710 Specify SASL realm.  Default is empty.
711 .TP
712 .B olcSaslSecProps: <properties>
713 Used to specify Cyrus SASL security properties.
714 The
715 .B none
716 flag (without any other properties) causes the flag properties
717 default, "noanonymous,noplain", to be cleared.
718 The
719 .B noplain
720 flag disables mechanisms susceptible to simple passive attacks.
721 The
722 .B noactive
723 flag disables mechanisms susceptible to active attacks.
724 The
725 .B nodict
726 flag disables mechanisms susceptible to passive dictionary attacks.
727 The
728 .B noanonymous
729 flag disables mechanisms which support anonymous login.
730 The
731 .B forwardsec
732 flag require forward secrecy between sessions.
733 The
734 .B passcred
735 require mechanisms which pass client credentials (and allow
736 mechanisms which can pass credentials to do so).
737 The
738 .B minssf=<factor> 
739 property specifies the minimum acceptable
740 .I security strength factor
741 as an integer approximate to effective key length used for
742 encryption.  0 (zero) implies no protection, 1 implies integrity
743 protection only, 56 allows DES or other weak ciphers, 112
744 allows triple DES and other strong ciphers, 128 allows RC4,
745 Blowfish and other modern strong ciphers.  The default is 0.
746 The
747 .B maxssf=<factor> 
748 property specifies the maximum acceptable
749 .I security strength factor
750 as an integer (see minssf description).  The default is INT_MAX.
751 The
752 .B maxbufsize=<size> 
753 property specifies the maximum security layer receive buffer
754 size allowed.  0 disables security layers.  The default is 65536.
755 .TP
756 .B olcServerID: <integer> [<URL>]
757 Specify an integer ID from 0 to 4095 for this server (limited
758 to 3 hexadecimal digits).  The ID may also be specified as a
759 hexadecimal ID by prefixing the value with "0x".
760 These IDs are
761 required when using multimaster replication and each master must have a
762 unique ID. Note that this requirement also applies to separate masters
763 contributing to a glued set of databases.
764 If the URL is provided, this directive may be specified
765 multiple times, providing a complete list of participating servers
766 and their IDs. The fully qualified hostname of each server should be
767 used in the supplied URLs. The IDs are used in the "replica id" field
768 of all CSNs generated by the specified server. The default value is zero.
769 Example:
770 .LP
771 .nf
772         olcServerID: 1 ldap://ldap1.example.com
773         olcServerID: 2 ldap://ldap2.example.com
774 .fi
775 .TP
776 .B olcSockbufMaxIncoming: <integer>
777 Specify the maximum incoming LDAP PDU size for anonymous sessions.
778 The default is 262143.
779 .TP
780 .B olcSockbufMaxIncomingAuth: <integer>
781 Specify the maximum incoming LDAP PDU size for authenticated sessions.
782 The default is 4194303.
783 .TP
784 .B olcTCPBuffer [listener=<URL>] [{read|write}=]<size>
785 Specify the size of the TCP buffer.
786 A global value for both read and write TCP buffers related to any listener
787 is defined, unless the listener is explicitly specified,
788 or either the read or write qualifiers are used.
789 See
790 .BR tcp (7)
791 for details.
792 Note that some OS-es implement automatic TCP buffer tuning.
793 .TP
794 .B olcThreads: <integer>
795 Specify the maximum size of the primary thread pool.
796 The default is 16; the minimum value is 2.
797 .TP
798 .B olcToolThreads: <integer>
799 Specify the maximum number of threads to use in tool mode.
800 This should not be greater than the number of CPUs in the system.
801 The default is 1.
802 .TP
803 .B olcWriteTimeout: <integer>
804 Specify the number of seconds to wait before forcibly closing
805 a connection with an outstanding write.  This allows recovery from
806 various network hang conditions.  A setting of 0 disables this
807 feature.  The default is 0.
808 .SH TLS OPTIONS
809 If
810 .B slapd
811 is built with support for Transport Layer Security, there are more options
812 you can specify.
813 .TP
814 .B olcTLSCipherSuite: <cipher-suite-spec>
815 Permits configuring what ciphers will be accepted and the preference order.
816 <cipher-suite-spec> should be a cipher specification for
817 the TLS library in use (OpenSSL, GnuTLS, or Mozilla NSS).
818 Example:
819 .RS
820 .RS
821 .TP
822 .I OpenSSL:
823 olcTLSCipherSuite: HIGH:MEDIUM:+SSLv2
824 .TP
825 .I GnuTLS:
826 TLSCiphersuite SECURE256:!AES-128-CBC
827 .RE
828
829 To check what ciphers a given spec selects in OpenSSL, use:
830
831 .nf
832         openssl ciphers \-v <cipher-suite-spec>
833 .fi
834
835 With GnuTLS the available specs can be found in the manual page of
836 .BR gnutls\-cli (1)
837 (see the description of the
838 option
839 .BR \-\-priority ).
840
841 In older versions of GnuTLS, where gnutls\-cli does not support the option
842 \-\-priority, you can obtain the \(em more limited \(em list of ciphers by calling:
843
844 .nf
845         gnutls\-cli \-l
846 .fi
847
848 When using Mozilla NSS, the OpenSSL cipher suite specifications are used and
849 translated into the format used internally by Mozilla NSS.  There isn't an easy
850 way to list the cipher suites from the command line.  The authoritative list
851 is in the source code for Mozilla NSS in the file sslinfo.c in the structure
852 .nf
853         static const SSLCipherSuiteInfo suiteInfo[]
854 .fi
855 .RE
856 .TP
857 .B olcTLSCACertificateFile: <filename>
858 Specifies the file that contains certificates for all of the Certificate
859 Authorities that
860 .B slapd
861 will recognize.
862 .TP
863 .B olcTLSCACertificatePath: <path>
864 Specifies the path of a directory that contains Certificate Authority
865 certificates in separate individual files. Usually only one of this
866 or the olcTLSCACertificateFile is defined. If both are specified, both
867 locations will be used. This directive is not supported
868 when using GnuTLS.
869
870 When using Mozilla NSS, <path> may contain a Mozilla NSS cert/key
871 database.  If <path> contains a Mozilla NSS cert/key database and
872 CA cert files, OpenLDAP will use the cert/key database and will
873 ignore the CA cert files.
874 .TP
875 .B olcTLSCertificateFile: <filename>
876 Specifies the file that contains the
877 .B slapd
878 server certificate.
879
880 When using Mozilla NSS, if using a cert/key database (specified with
881 olcTLSCACertificatePath), olcTLSCertificateFile specifies
882 the name of the certificate to use:
883 .nf
884         olcTLSCertificateFile: Server-Cert
885 .fi
886 If using a token other than the internal built in token, specify the
887 token name first, followed by a colon:
888 .nf
889         olcTLSCertificateFile: my hardware device:Server-Cert
890 .fi
891 Use certutil -L to list the certificates by name:
892 .nf
893         certutil -d /path/to/certdbdir -L
894 .fi
895 .TP
896 .B olcTLSCertificateKeyFile: <filename>
897 Specifies the file that contains the
898 .B slapd
899 server private key that matches the certificate stored in the
900 .B olcTLSCertificateFile
901 file. If the private key is protected with a password, the password must
902 be manually typed in when slapd starts.  Usually the private key is not
903 protected with a password, to allow slapd to start without manual
904 intervention, so
905 it is of critical importance that the file is protected carefully. 
906
907 When using Mozilla NSS, olcTLSCertificateKeyFile specifies the name of
908 a file that contains the password for the key for the certificate specified with
909 olcTLSCertificateFile.  The modutil command can be used to turn off password
910 protection for the cert/key database.  For example, if olcTLSCACertificatePath
911 specifes /etc/openldap/certdb as the location of the cert/key database, use
912 modutil to change the password to the empty string:
913 .nf
914         modutil -dbdir /etc/openldap/certdb -changepw 'NSS Certificate DB'
915 .fi
916 You must have the old password, if any.  Ignore the WARNING about the running
917 browser.  Press 'Enter' for the new password.
918
919 .TP
920 .B olcTLSDHParamFile: <filename>
921 This directive specifies the file that contains parameters for Diffie-Hellman
922 ephemeral key exchange.  This is required in order to use a DSA certificate on
923 the server. If multiple sets of parameters are present in the file, all of
924 them will be processed.  Note that setting this option may also enable
925 Anonymous Diffie-Hellman key exchanges in certain non-default cipher suites.
926 You should append "!ADH" to your cipher suites if you have changed them
927 from the default, otherwise no certificate exchanges or verification will
928 be done. When using GnuTLS or Mozilla NSS these parameters are always generated randomly
929 so this directive is ignored.
930 .TP
931 .B olcTLSRandFile: <filename>
932 Specifies the file to obtain random bits from when /dev/[u]random
933 is not available.  Generally set to the name of the EGD/PRNGD socket.
934 The environment variable RANDFILE can also be used to specify the filename.
935 This directive is ignored with GnuTLS and Mozilla NSS.
936 .TP
937 .B olcTLSVerifyClient: <level>
938 Specifies what checks to perform on client certificates in an
939 incoming TLS session, if any.
940 The
941 .B <level>
942 can be specified as one of the following keywords:
943 .RS
944 .TP
945 .B never
946 This is the default.
947 .B slapd
948 will not ask the client for a certificate.
949 .TP
950 .B allow
951 The client certificate is requested.  If no certificate is provided,
952 the session proceeds normally.  If a bad certificate is provided,
953 it will be ignored and the session proceeds normally.
954 .TP
955 .B try
956 The client certificate is requested.  If no certificate is provided,
957 the session proceeds normally.  If a bad certificate is provided,
958 the session is immediately terminated.
959 .TP
960 .B demand | hard | true
961 These keywords are all equivalent, for compatibility reasons.
962 The client certificate is requested.  If no certificate is provided,
963 or a bad certificate is provided, the session is immediately terminated.
964
965 Note that a valid client certificate is required in order to use the
966 SASL EXTERNAL authentication mechanism with a TLS session.  As such,
967 a non-default
968 .B olcTLSVerifyClient
969 setting must be chosen to enable SASL EXTERNAL authentication.
970 .RE
971 .TP
972 .B olcTLSCRLCheck: <level>
973 Specifies if the Certificate Revocation List (CRL) of the CA should be 
974 used to verify if the client certificates have not been revoked. This
975 requires
976 .B olcTLSCACertificatePath
977 parameter to be set. This parameter is ignored with GnuTLS and Mozilla NSS.
978 .B <level>
979 can be specified as one of the following keywords:
980 .RS
981 .TP
982 .B none
983 No CRL checks are performed
984 .TP
985 .B peer
986 Check the CRL of the peer certificate
987 .TP
988 .B all
989 Check the CRL for a whole certificate chain
990 .RE
991 .TP
992 .B olcTLSCRLFile: <filename>
993 Specifies a file containing a Certificate Revocation List to be used
994 for verifying that certificates have not been revoked. This parameter
995 is only valid when using GnuTLS or Mozilla NSS.
996 .SH DYNAMIC MODULE OPTIONS
997 If
998 .B slapd
999 is compiled with \-\-enable\-modules then the module-related entries will
1000 be available. These entries are named
1001 .B cn=module{x},cn=config
1002 and
1003 must have the olcModuleList objectClass. One entry should be created
1004 per
1005 .B olcModulePath.
1006 Normally the config engine generates the "{x}" index in the RDN
1007 automatically, so it can be omitted when initially loading these entries.
1008 .TP
1009 .B olcModuleLoad: <filename>
1010 Specify the name of a dynamically loadable module to load. The filename
1011 may be an absolute path name or a simple filename. Non-absolute names
1012 are searched for in the directories specified by the
1013 .B olcModulePath
1014 option.
1015 .TP
1016 .B olcModulePath: <pathspec>
1017 Specify a list of directories to search for loadable modules. Typically
1018 the path is colon-separated but this depends on the operating system.
1019 The default is MODULEDIR, which is where the standard OpenLDAP install
1020 will place its modules. 
1021 .SH SCHEMA OPTIONS
1022 Schema definitions are created as entries in the
1023 .B cn=schema,cn=config
1024 subtree. These entries must have the olcSchemaConfig objectClass.
1025 As noted above, the actual
1026 .B cn=schema,cn=config
1027 entry is predefined and any values specified for it are ignored.
1028
1029 .HP
1030 .hy 0
1031 .B olcAttributetypes: "(\ <oid>\
1032  [NAME\ <name>]\
1033  [DESC\ <description>]\
1034  [OBSOLETE]\
1035  [SUP\ <oid>]\
1036  [EQUALITY\ <oid>]\
1037  [ORDERING\ <oid>]\
1038  [SUBSTR\ <oid>]\
1039  [SYNTAX\ <oidlen>]\
1040  [SINGLE\-VALUE]\
1041  [COLLECTIVE]\
1042  [NO\-USER\-MODIFICATION]\
1043  [USAGE\ <attributeUsage>]\ )"
1044 .RS
1045 Specify an attribute type using the LDAPv3 syntax defined in RFC 4512.
1046 The slapd parser extends the RFC 4512 definition by allowing string
1047 forms as well as numeric OIDs to be used for the attribute OID and
1048 attribute syntax OID.
1049 (See the
1050 .B olcObjectIdentifier
1051 description.) 
1052 .RE
1053
1054 .HP
1055 .hy 0
1056 .B olcDitContentRules: "(\ <oid>\
1057  [NAME\ <name>]\
1058  [DESC\ <description>]\
1059  [OBSOLETE]\
1060  [AUX\ <oids>]\
1061  [MUST\ <oids>]\
1062  [MAY\ <oids>]\
1063  [NOT\ <oids>]\ )"
1064 .RS
1065 Specify an DIT Content Rule using the LDAPv3 syntax defined in RFC 4512.
1066 The slapd parser extends the RFC 4512 definition by allowing string
1067 forms as well as numeric OIDs to be used for the attribute OID and
1068 attribute syntax OID.
1069 (See the
1070 .B olcObjectIdentifier
1071 description.) 
1072 .RE
1073
1074 .HP
1075 .hy 0
1076 .B olcObjectClasses: "(\ <oid>\
1077  [NAME\ <name>]\
1078  [DESC\ <description>]\
1079  [OBSOLETE]\
1080  [SUP\ <oids>]\
1081  [{ ABSTRACT | STRUCTURAL | AUXILIARY }]\
1082  [MUST\ <oids>] [MAY\ <oids>] )"
1083 .RS
1084 Specify an objectclass using the LDAPv3 syntax defined in RFC 4512.
1085 The slapd parser extends the RFC 4512 definition by allowing string
1086 forms as well as numeric OIDs to be used for the object class OID.
1087 (See the
1088 .B
1089 olcObjectIdentifier
1090 description.)  Object classes are "STRUCTURAL" by default.
1091 .RE
1092 .TP
1093 .B olcObjectIdentifier: <name> "{ <oid> | <name>[:<suffix>] }"
1094 Define a string name that equates to the given OID. The string can be used
1095 in place of the numeric OID in objectclass and attribute definitions. The
1096 name can also be used with a suffix of the form ":xx" in which case the
1097 value "oid.xx" will be used.
1098
1099 .SH GENERAL BACKEND OPTIONS
1100 Options in these entries only apply to the configuration of a single
1101 type of backend. All backends may support this class of options, but
1102 currently none do.
1103 The entry must be named
1104 .B olcBackend=<databasetype>,cn=config
1105 and must have the olcBackendConfig objectClass.
1106 <databasetype>
1107 should be one of
1108 .BR bdb ,
1109 .BR config ,
1110 .BR dnssrv ,
1111 .BR hdb ,
1112 .BR ldap ,
1113 .BR ldif ,
1114 .BR mdb ,
1115 .BR meta ,
1116 .BR monitor ,
1117 .BR ndb ,
1118 .BR null ,
1119 .BR passwd ,
1120 .BR perl ,
1121 .BR relay ,
1122 .BR shell ,
1123 or
1124 .BR sql .
1125 At present, no backend implements any options of this type, so this
1126 entry should not be used.
1127
1128 .SH DATABASE OPTIONS
1129 Database options are set in entries named
1130 .B olcDatabase={x}<databasetype>,cn=config
1131 and must have the olcDatabaseConfig objectClass. Normally the config
1132 engine generates the "{x}" index in the RDN automatically, so it
1133 can be omitted when initially loading these entries.
1134
1135 The special frontend database is always numbered "{\-1}" and the config
1136 database is always numbered "{0}".
1137
1138 .SH GLOBAL DATABASE OPTIONS
1139 Options in this section may be set in the special "frontend" database
1140 and inherited in all the other databases. These options may be altered
1141 by further settings in each specific database. The frontend entry must
1142 be named
1143 .B olcDatabase=frontend,cn=config
1144 and must have the olcFrontendConfig objectClass.
1145 .TP
1146 .B olcAccess: to <what> "[ by <who> <access> <control> ]+"
1147 Grant access (specified by <access>) to a set of entries and/or
1148 attributes (specified by <what>) by one or more requestors (specified
1149 by <who>).
1150 If no access controls are present, the default policy
1151 allows anyone and everyone to read anything but restricts
1152 updates to rootdn.  (e.g., "olcAccess: to * by * read").
1153 See
1154 .BR slapd.access (5)
1155 and the "OpenLDAP Administrator's Guide" for details.
1156
1157 Access controls set in the frontend are appended to any access
1158 controls set on the specific databases.
1159 The rootdn of a database can always read and write EVERYTHING
1160 in that database.
1161
1162 Extra special care must be taken with the access controls on the
1163 config database. Unlike other databases, the default policy for the
1164 config database is to only allow access to the rootdn. Regular users
1165 should not have read access, and write access should be granted very
1166 carefully to privileged administrators.
1167
1168 .TP
1169 .B olcDefaultSearchBase: <dn>
1170 Specify a default search base to use when client submits a
1171 non-base search request with an empty base DN.
1172 Base scoped search requests with an empty base DN are not affected.
1173 This setting is only allowed in the frontend entry.
1174 .TP
1175 .B olcExtraAttrs: <attr>
1176 Lists what attributes need to be added to search requests.
1177 Local storage backends return the entire entry to the frontend.
1178 The frontend takes care of only returning the requested attributes
1179 that are allowed by ACLs.
1180 However, features like access checking and so may need specific
1181 attributes that are not automatically returned by remote storage
1182 backends, like proxy backends and so on.
1183 .B <attr>
1184 is an attribute that is needed for internal purposes
1185 and thus always needs to be collected, even when not explicitly
1186 requested by clients.
1187 This attribute is multi-valued.
1188 .TP
1189 .B olcPasswordHash: <hash> [<hash>...]
1190 This option configures one or more hashes to be used in generation of user
1191 passwords stored in the userPassword attribute during processing of
1192 LDAP Password Modify Extended Operations (RFC 3062).
1193 The <hash> must be one of
1194 .BR {SSHA} ,
1195 .BR {SHA} ,
1196 .BR {SMD5} ,
1197 .BR {MD5} ,
1198 .BR {CRYPT} ,
1199 and
1200 .BR {CLEARTEXT} .
1201 The default is
1202 .BR {SSHA} .
1203
1204 .B {SHA}
1205 and
1206 .B {SSHA}
1207 use the SHA-1 algorithm (FIPS 160-1), the latter with a seed.
1208
1209 .B {MD5}
1210 and
1211 .B {SMD5}
1212 use the MD5 algorithm (RFC 1321), the latter with a seed.
1213
1214 .B {CRYPT}
1215 uses the
1216 .BR crypt (3).
1217
1218 .B {CLEARTEXT}
1219 indicates that the new password should be
1220 added to userPassword as clear text.
1221
1222 Note that this option does not alter the normal user applications
1223 handling of userPassword during LDAP Add, Modify, or other LDAP operations.
1224 This setting is only allowed in the frontend entry.
1225 .TP
1226 .B olcReadOnly: TRUE | FALSE
1227 This option puts the database into "read-only" mode.  Any attempts to 
1228 modify the database will return an "unwilling to perform" error.  By
1229 default, olcReadOnly is FALSE. Note that when this option is set
1230 TRUE on the frontend, it cannot be reset without restarting the
1231 server, since further writes to the config database will be rejected.
1232 .TP
1233 .B olcRequires: <conditions>
1234 Specify a set of conditions to require (default none).
1235 The directive may be specified globally and/or per-database;
1236 databases inherit global conditions, so per-database specifications
1237 are additive.
1238 .B bind
1239 requires bind operation prior to directory operations.
1240 .B LDAPv3
1241 requires session to be using LDAP version 3.
1242 .B authc
1243 requires authentication prior to directory operations.
1244 .B SASL
1245 requires SASL authentication prior to directory operations.
1246 .B strong
1247 requires strong authentication prior to directory operations.
1248 The strong keyword allows protected "simple" authentication
1249 as well as SASL authentication.
1250 .B none
1251 may be used to require no conditions (useful to clear out globally
1252 set conditions within a particular database); it must occur first
1253 in the list of conditions.
1254 .TP
1255 .B olcRestrict: <oplist>
1256 Specify a list of operations that are restricted.
1257 Restrictions on a specific database override any frontend setting.
1258 Operations can be any of 
1259 .BR add ,
1260 .BR bind ,
1261 .BR compare ,
1262 .BR delete ,
1263 .BR extended[=<OID>] ,
1264 .BR modify ,
1265 .BR rename ,
1266 .BR search ,
1267 or the special pseudo-operations
1268 .B read
1269 and
1270 .BR write ,
1271 which respectively summarize read and write operations.
1272 The use of 
1273 .I restrict write
1274 is equivalent to 
1275 .I olcReadOnly: TRUE
1276 (see above).
1277 The 
1278 .B extended
1279 keyword allows to indicate the OID of the specific operation
1280 to be restricted.
1281 .TP
1282 .B olcSchemaDN: <dn>
1283 Specify the distinguished name for the subschema subentry that
1284 controls the entries on this server.  The default is "cn=Subschema".
1285 .TP
1286 .B olcSecurity: <factors>
1287 Specify a set of security strength factors (separated by white space)
1288 to require (see
1289 .BR olcSaslSecprops 's
1290 .B minssf
1291 option for a description of security strength factors).
1292 The directive may be specified globally and/or per-database.
1293 .B ssf=<n>
1294 specifies the overall security strength factor.
1295 .B transport=<n>
1296 specifies the transport security strength factor.
1297 .B tls=<n>
1298 specifies the TLS security strength factor.
1299 .B sasl=<n>
1300 specifies the SASL security strength factor.
1301 .B update_ssf=<n>
1302 specifies the overall security strength factor to require for
1303 directory updates.
1304 .B update_transport=<n>
1305 specifies the transport security strength factor to require for
1306 directory updates.
1307 .B update_tls=<n>
1308 specifies the TLS security strength factor to require for
1309 directory updates.
1310 .B update_sasl=<n>
1311 specifies the SASL security strength factor to require for
1312 directory updates.
1313 .B simple_bind=<n>
1314 specifies the security strength factor required for
1315 .I simple
1316 username/password authentication.
1317 Note that the
1318 .B transport
1319 factor is measure of security provided by the underlying transport,
1320 e.g. ldapi:// (and eventually IPSEC).  It is not normally used.
1321 .TP
1322 .B olcSizeLimit: {<integer>|unlimited}
1323 .TP
1324 .B olcSizeLimit: size[.{soft|hard|unchecked}]=<integer> [...]
1325 Specify the maximum number of entries to return from a search operation.
1326 The default size limit is 500.
1327 Use
1328 .B unlimited
1329 to specify no limits.
1330 The second format allows a fine grain setting of the size limits.
1331 Extra args can be added in the same value or as additional values.
1332 See
1333 .BR olcLimits
1334 for an explanation of the different flags.
1335 .TP
1336 .B olcSortVals: <attr> [...]
1337 Specify a list of multi-valued attributes whose values will always
1338 be maintained in sorted order. Using this option will allow Modify,
1339 Compare, and filter evaluations on these attributes to be performed
1340 more efficiently. The resulting sort order depends on the
1341 attributes' syntax and matching rules and may not correspond to
1342 lexical order or any other recognizable order.
1343 This setting is only allowed in the frontend entry.
1344 .TP
1345 .B olcTimeLimit: {<integer>|unlimited}
1346 .TP
1347 .B olcTimeLimit: time[.{soft|hard}]=<integer> [...]
1348 Specify the maximum number of seconds (in real time)
1349 .B slapd
1350 will spend answering a search request.  The default time limit is 3600.
1351 Use
1352 .B unlimited
1353 to specify no limits.
1354 The second format allows a fine grain setting of the time limits.
1355 Extra args can be added in the same value or as additional values.
1356 See
1357 .BR olcLimits
1358 for an explanation of the different flags.
1359
1360 .SH GENERAL DATABASE OPTIONS
1361 Options in this section only apply to the specific database for
1362 which they are defined.  They are supported by every
1363 type of backend. All of the Global Database Options may also be
1364 used here.
1365 .TP
1366 .B olcAddContentAcl: TRUE | FALSE
1367 Controls whether Add operations will perform ACL checks on
1368 the content of the entry being added. This check is off
1369 by default. See the
1370 .BR slapd.access (5)
1371 manual page for more details on ACL requirements for
1372 Add operations.
1373 .TP
1374 .B olcHidden: TRUE | FALSE
1375 Controls whether the database will be used to answer
1376 queries. A database that is hidden will never be
1377 selected to answer any queries, and any suffix configured
1378 on the database will be ignored in checks for conflicts
1379 with other databases. By default, olcHidden is FALSE.
1380 .TP
1381 .B olcLastMod: TRUE | FALSE
1382 Controls whether
1383 .B slapd
1384 will automatically maintain the 
1385 modifiersName, modifyTimestamp, creatorsName, and 
1386 createTimestamp attributes for entries. It also controls
1387 the entryCSN and entryUUID attributes, which are needed
1388 by the syncrepl provider. By default, olcLastMod is TRUE.
1389 .TP
1390 .B olcLimits: <selector> <limit> [<limit> [...]]
1391 Specify time and size limits based on the operation's initiator or
1392 base DN.
1393 The argument
1394 .B <selector>
1395 can be any of
1396 .RS
1397 .RS
1398 .TP
1399 anonymous | users | [<dnspec>=]<pattern> | group[/oc[/at]]=<pattern>
1400
1401 .RE
1402 with
1403 .RS
1404 .TP
1405 <dnspec> ::= dn[.<type>][.<style>]
1406 .TP
1407 <type>  ::= self | this
1408 .TP
1409 <style> ::= exact | base | onelevel | subtree | children | regex | anonymous
1410
1411 .RE
1412 DN type
1413 .B self
1414 is the default and means the bound user, while
1415 .B this
1416 means the base DN of the operation.
1417 The term
1418 .B anonymous
1419 matches all unauthenticated clients.
1420 The term
1421 .B users
1422 matches all authenticated clients;
1423 otherwise an
1424 .B exact
1425 dn pattern is assumed unless otherwise specified by qualifying 
1426 the (optional) key string
1427 .B dn
1428 with 
1429 .B exact
1430 or
1431 .B base
1432 (which are synonyms), to require an exact match; with
1433 .BR onelevel , 
1434 to require exactly one level of depth match; with
1435 .BR subtree ,
1436 to allow any level of depth match, including the exact match; with
1437 .BR children ,
1438 to allow any level of depth match, not including the exact match;
1439 .BR regex
1440 explicitly requires the (default) match based on POSIX (''extended'')
1441 regular expression pattern.
1442 Finally,
1443 .B anonymous
1444 matches unbound operations; the 
1445 .B pattern
1446 field is ignored.
1447 The same behavior is obtained by using the 
1448 .B anonymous
1449 form of the
1450 .B <selector>
1451 clause.
1452 The term
1453 .BR group ,
1454 with the optional objectClass
1455 .B oc
1456 and attributeType
1457 .B at
1458 fields, followed by
1459 .BR pattern ,
1460 sets the limits for any DN listed in the values of the
1461 .B at
1462 attribute (default
1463 .BR member )
1464 of the 
1465 .B oc
1466 group objectClass (default
1467 .BR groupOfNames )
1468 whose DN exactly matches
1469 .BR pattern .
1470
1471 The currently supported limits are 
1472 .B size
1473 and 
1474 .BR time .
1475
1476 The syntax for time limits is 
1477 .BR time[.{soft|hard}]=<integer> ,
1478 where 
1479 .I integer
1480 is the number of seconds slapd will spend answering a search request.
1481 If no time limit is explicitly requested by the client, the 
1482 .BR soft
1483 limit is used; if the requested time limit exceeds the
1484 .BR hard
1485 .\"limit, an
1486 .\".I "Administrative limit exceeded"
1487 .\"error is returned.
1488 limit, the value of the limit is used instead.
1489 If the
1490 .BR hard
1491 limit is set to the keyword 
1492 .IR soft ,
1493 the soft limit is used in either case; if it is set to the keyword 
1494 .IR unlimited , 
1495 no hard limit is enforced.
1496 Explicit requests for time limits smaller or equal to the
1497 .BR hard 
1498 limit are honored.
1499 If no limit specifier is set, the value is assigned to the 
1500 .BR soft 
1501 limit, and the
1502 .BR hard
1503 limit is set to
1504 .IR soft ,
1505 to preserve the original behavior.
1506
1507 The syntax for size limits is
1508 .BR size[.{soft|hard|unchecked}]=<integer> ,
1509 where
1510 .I integer
1511 is the maximum number of entries slapd will return answering a search 
1512 request.
1513 If no size limit is explicitly requested by the client, the
1514 .BR soft
1515 limit is used; if the requested size limit exceeds the
1516 .BR hard
1517 .\"limit, an 
1518 .\".I "Administrative limit exceeded"
1519 .\"error is returned.
1520 limit, the value of the limit is used instead.
1521 If the 
1522 .BR hard
1523 limit is set to the keyword 
1524 .IR soft , 
1525 the soft limit is used in either case; if it is set to the keyword
1526 .IR unlimited , 
1527 no hard limit is enforced.
1528 Explicit requests for size limits smaller or equal to the
1529 .BR hard
1530 limit are honored.
1531 The
1532 .BR unchecked
1533 specifier sets a limit on the number of candidates a search request is allowed
1534 to examine.
1535 The rationale behind it is that searches for non-properly indexed
1536 attributes may result in large sets of candidates, which must be 
1537 examined by
1538 .BR slapd (8)
1539 to determine whether they match the search filter or not.
1540 The
1541 .B unchecked
1542 limit provides a means to drop such operations before they are even 
1543 started.
1544 If the selected candidates exceed the 
1545 .BR unchecked
1546 limit, the search will abort with 
1547 .IR "Unwilling to perform" .
1548 If it is set to the keyword 
1549 .IR unlimited , 
1550 no limit is applied (the default).
1551 If it is set to
1552 .IR disable ,
1553 the search is not even performed; this can be used to disallow searches
1554 for a specific set of users.
1555 If no limit specifier is set, the value is assigned to the
1556 .BR soft 
1557 limit, and the
1558 .BR hard
1559 limit is set to
1560 .IR soft ,
1561 to preserve the original behavior.
1562
1563 In case of no match, the global limits are used.
1564 The default values are the same as for
1565 .B olcSizeLimit
1566 and
1567 .BR olcTimeLimit ;
1568 no limit is set on 
1569 .BR unchecked .
1570
1571 If 
1572 .B pagedResults
1573 control is requested, the 
1574 .B hard
1575 size limit is used by default, because the request of a specific page size
1576 is considered an explicit request for a limitation on the number
1577 of entries to be returned.
1578 However, the size limit applies to the total count of entries returned within
1579 the search, and not to a single page.
1580 Additional size limits may be enforced; the syntax is
1581 .BR size.pr={<integer>|noEstimate|unlimited} ,
1582 where
1583 .I integer
1584 is the max page size if no explicit limit is set; the keyword
1585 .I noEstimate
1586 inhibits the server from returning an estimate of the total number
1587 of entries that might be returned
1588 (note: the current implementation does not return any estimate).
1589 The keyword
1590 .I unlimited
1591 indicates that no limit is applied to the pagedResults control page size.
1592 The syntax
1593 .B size.prtotal={<integer>|unlimited|disabled}
1594 allows to set a limit on the total number of entries that a pagedResults
1595 control allows to return.
1596 By default it is set to the 
1597 .B hard
1598 limit.
1599 When set, 
1600 .I integer
1601 is the max number of entries that the whole search with pagedResults control
1602 can return.
1603 Use 
1604 .I unlimited
1605 to allow unlimited number of entries to be returned, e.g. to allow
1606 the use of the pagedResults control as a means to circumvent size 
1607 limitations on regular searches; the keyword
1608 .I disabled
1609 disables the control, i.e. no paged results can be returned.
1610 Note that the total number of entries returned when the pagedResults control 
1611 is requested cannot exceed the 
1612 .B hard 
1613 size limit of regular searches unless extended by the
1614 .B prtotal
1615 switch.
1616 .RE
1617 .TP
1618 .B olcMaxDerefDepth: <depth>
1619 Specifies the maximum number of aliases to dereference when trying to
1620 resolve an entry, used to avoid infinite alias loops. The default is 15.
1621 .TP
1622 .B olcMirrorMode: TRUE | FALSE
1623 This option puts a replica database into "mirror" mode.  Update
1624 operations will be accepted from any user, not just the updatedn.  The
1625 database must already be configured as syncrepl consumer
1626 before this keyword may be set.  This mode also requires a
1627 .B olcServerID
1628 (see above) to be configured.
1629 By default, this setting is FALSE.
1630 .TP
1631 .B olcPlugin: <plugin_type> <lib_path> <init_function> [<arguments>]
1632 Configure a SLAPI plugin. See the
1633 .BR slapd.plugin (5)
1634 manpage for more details.
1635 .TP
1636 .B olcRootDN: <dn>
1637 Specify the distinguished name that is not subject to access control 
1638 or administrative limit restrictions for operations on this database.
1639 This DN may or may not be associated with an entry.  An empty root
1640 DN (the default) specifies no root access is to be granted.  It is
1641 recommended that the rootdn only be specified when needed (such as
1642 when initially populating a database).  If the rootdn is within
1643 a namingContext (suffix) of the database, a simple bind password
1644 may also be provided using the
1645 .B olcRootPW
1646 directive. Note that the rootdn is always needed when using syncrepl.
1647 The
1648 .B olcRootDN
1649 of the
1650 .B cn=config
1651 database defaults to
1652 .B cn=config
1653 itself.
1654 .TP
1655 .B olcRootPW: <password>
1656 Specify a password (or hash of the password) for the rootdn.  The
1657 password can only be set if the rootdn is within the namingContext
1658 (suffix) of the database.
1659 This option accepts all RFC 2307 userPassword formats known to
1660 the server (see 
1661 .B olcPasswordHash
1662 description) as well as cleartext.
1663 .BR slappasswd (8) 
1664 may be used to generate a hash of a password.  Cleartext
1665 and \fB{CRYPT}\fP passwords are not recommended.  If empty
1666 (the default), authentication of the root DN is by other means
1667 (e.g. SASL).  Use of SASL is encouraged.
1668 .TP
1669 .B olcSubordinate: [TRUE | FALSE | advertise]
1670 Specify that the current backend database is a subordinate of another
1671 backend database. A subordinate  database may have only one suffix. This
1672 option may be used to glue multiple databases into a single namingContext.
1673 If the suffix of the current database is within the namingContext of a
1674 superior database, searches against the superior database will be
1675 propagated to the subordinate as well. All of the databases
1676 associated with a single namingContext should have identical rootdns.
1677 Behavior of other LDAP operations is unaffected by this setting. In
1678 particular, it is not possible to use moddn to move an entry from
1679 one subordinate to another subordinate within the namingContext.
1680
1681 If the optional \fBadvertise\fP flag is supplied, the naming context of
1682 this database is advertised in the root DSE. The default is to hide this
1683 database context, so that only the superior context is visible.
1684
1685 If the slap tools
1686 .BR slapcat (8),
1687 .BR slapadd (8),
1688 or
1689 .BR slapindex (8)
1690 are used on the superior database, any glued subordinates that support
1691 these tools are opened as well.
1692
1693 Databases that are glued together should usually be configured with the
1694 same indices (assuming they support indexing), even for attributes that
1695 only exist in some of these databases. In general, all of the glued
1696 databases should be configured as similarly as possible, since the intent
1697 is to provide the appearance of a single directory.
1698
1699 Note that the subordinate functionality is implemented internally
1700 by the \fIglue\fP overlay and as such its behavior will interact with other
1701 overlays in use. By default, the glue overlay is automatically configured as
1702 the last overlay on the superior database. Its position on the database
1703 can be explicitly configured by setting an \fBoverlay glue\fP directive
1704 at the desired position. This explicit configuration is necessary e.g.
1705 when using the \fIsyncprov\fP overlay, which needs to follow \fIglue\fP
1706 in order to work over all of the glued databases. E.g.
1707 .RS
1708 .nf
1709         dn: olcDatabase={1}bdb,cn=config
1710         olcSuffix: dc=example,dc=com
1711         ...
1712
1713         dn: olcOverlay={0}glue,olcDatabase={1}bdb,cn=config
1714         ...
1715
1716         dn: olcOverlay={1}syncprov,olcDatabase={1}bdb,cn=config
1717         ...
1718 .fi
1719 .RE
1720 See the Overlays section below for more details.
1721 .TP
1722 .B olcSuffix: <dn suffix>
1723 Specify the DN suffix of queries that will be passed to this 
1724 backend database.  Multiple suffix lines can be given and at least one is 
1725 required for each database definition.
1726
1727 If the suffix of one database is "inside" that of another, the database
1728 with the inner suffix must come first in the configuration file.
1729 You may also want to glue such databases together with the
1730 .B olcSubordinate
1731 attribute.
1732 .TP
1733 .B olcSyncUseSubentry: TRUE | FALSE
1734 Store the syncrepl contextCSN in a subentry instead of the context entry
1735 of the database. The subentry's RDN will be "cn=ldapsync". The default is
1736 FALSE, meaning the contextCSN is stored in the context entry.
1737 .HP
1738 .hy 0
1739 .B olcSyncrepl: rid=<replica ID>
1740 .B provider=ldap[s]://<hostname>[:port]
1741 .B searchbase=<base DN>
1742 .B [type=refreshOnly|refreshAndPersist]
1743 .B [interval=dd:hh:mm:ss]
1744 .B [retry=[<retry interval> <# of retries>]+]
1745 .B [filter=<filter str>]
1746 .B [scope=sub|one|base|subord]
1747 .B [attrs=<attr list>]
1748 .B [exattrs=<attr list>]
1749 .B [attrsonly]
1750 .B [sizelimit=<limit>]
1751 .B [timelimit=<limit>]
1752 .B [schemachecking=on|off]
1753 .B [network\-timeout=<seconds>]
1754 .B [timeout=<seconds>]
1755 .B [bindmethod=simple|sasl]
1756 .B [binddn=<dn>]
1757 .B [saslmech=<mech>]
1758 .B [authcid=<identity>]
1759 .B [authzid=<identity>]
1760 .B [credentials=<passwd>]
1761 .B [realm=<realm>]
1762 .B [secprops=<properties>]
1763 .B [keepalive=<idle>:<probes>:<interval>]
1764 .B [starttls=yes|critical]
1765 .B [tls_cert=<file>]
1766 .B [tls_key=<file>]
1767 .B [tls_cacert=<file>]
1768 .B [tls_cacertdir=<path>]
1769 .B [tls_reqcert=never|allow|try|demand]
1770 .B [tls_ciphersuite=<ciphers>]
1771 .B [tls_crlcheck=none|peer|all]
1772 .B [suffixmassage=<real DN>]
1773 .B [logbase=<base DN>]
1774 .B [logfilter=<filter str>]
1775 .B [syncdata=default|accesslog|changelog]
1776 .RS
1777 Specify the current database as a replica which is kept up-to-date with the 
1778 master content by establishing the current
1779 .BR slapd (8)
1780 as a replication consumer site running a
1781 .B syncrepl
1782 replication engine.
1783 The replica content is kept synchronized to the master content using
1784 the LDAP Content Synchronization protocol. Refer to the
1785 "OpenLDAP Administrator's Guide" for detailed information on
1786 setting up a replicated
1787 .B slapd
1788 directory service using the 
1789 .B syncrepl
1790 replication engine.
1791
1792 .B rid
1793 identifies the current
1794 .B syncrepl
1795 directive within the replication consumer site.
1796 It is a non-negative integer having no more than three decimal digits.
1797
1798 .B provider
1799 specifies the replication provider site containing the master content
1800 as an LDAP URI. If <port> is not given, the standard LDAP port number
1801 (389 or 636) is used.
1802
1803 The content of the
1804 .B syncrepl
1805 replica is defined using a search
1806 specification as its result set. The consumer
1807 .B slapd
1808 will send search requests to the provider
1809 .B slapd
1810 according to the search specification. The search specification includes
1811 .B searchbase, scope, filter, attrs, attrsonly, sizelimit,
1812 and
1813 .B timelimit
1814 parameters as in the normal search specification. The
1815 .B exattrs
1816 option may also be used to specify attributes that should be omitted
1817 from incoming entries.
1818 The \fBscope\fP defaults to \fBsub\fP, the \fBfilter\fP defaults to
1819 \fB(objectclass=*)\fP, and there is no default \fBsearchbase\fP. The
1820 \fBattrs\fP list defaults to \fB"*,+"\fP to return all user and operational
1821 attributes, and \fBattrsonly\fP and \fBexattrs\fP are unset by default.
1822 The \fBsizelimit\fP and \fBtimelimit\fP only
1823 accept "unlimited" and positive integers, and both default to "unlimited".
1824 Note, however, that any provider-side limits for the replication identity
1825 will be enforced by the provider regardless of the limits requested
1826 by the LDAP Content Synchronization operation, much like for any other
1827 search operation.
1828
1829 The LDAP Content Synchronization protocol has two operation types.
1830 In the
1831 .B refreshOnly
1832 operation, the next synchronization search operation
1833 is periodically rescheduled at an interval time (specified by 
1834 .B interval
1835 parameter; 1 day by default)
1836 after each synchronization operation finishes.
1837 In the
1838 .B refreshAndPersist
1839 operation, a synchronization search remains persistent in the provider slapd.
1840 Further updates to the master replica will generate
1841 .B searchResultEntry
1842 to the consumer slapd as the search responses to the persistent
1843 synchronization search.
1844
1845 If an error occurs during replication, the consumer will attempt to
1846 reconnect according to the
1847 .B retry
1848 parameter which is a list of the <retry interval> and <# of retries> pairs.
1849 For example, retry="60 10 300 3" lets the consumer retry every 60 seconds
1850 for the first 10 times and then retry every 300 seconds for the next 3
1851 times before stop retrying. The `+' in <# of retries> means indefinite
1852 number of retries until success.
1853
1854 The schema checking can be enforced at the LDAP Sync
1855 consumer site by turning on the
1856 .B schemachecking
1857 parameter. The default is off.
1858
1859 The
1860 .B network\-timeout
1861 parameter sets how long the consumer will wait to establish a
1862 network connection to the provider. Once a connection is
1863 established, the
1864 .B timeout
1865 parameter determines how long the consumer will wait for the initial
1866 Bind request to complete. The defaults for these parameters come
1867 from 
1868 .BR ldap.conf (5).
1869
1870 A
1871 .B bindmethod
1872 of 
1873 .B simple
1874 requires the options 
1875 .B binddn
1876 and 
1877 .B credentials
1878 and should only be used when adequate security services
1879 (e.g. TLS or IPSEC) are in place.
1880 A
1881 .B bindmethod
1882 of
1883 .B sasl
1884 requires the option
1885 .B saslmech.
1886 Depending on the mechanism, an authentication identity and/or
1887 credentials can be specified using
1888 .B authcid
1889 and
1890 .B credentials.
1891 The
1892 .B authzid
1893 parameter may be used to specify an authorization identity.
1894 Specific security properties (as with the
1895 .B sasl\-secprops
1896 keyword above) for a SASL bind can be set with the
1897 .B secprops
1898 option. A non default SASL realm can be set with the
1899 .B realm 
1900 option.
1901 The provider, other than allow authentication of the syncrepl identity,
1902 should grant that identity appropriate access privileges to the data 
1903 that is being replicated (\fBaccess\fP directive), and appropriate time 
1904 and size limits (\fBlimits\fP directive).
1905
1906 The
1907 .B keepalive
1908 parameter sets the values of \fIidle\fP, \fIprobes\fP, and \fIinterval\fP
1909 used to check whether a socket is alive;
1910 .I idle
1911 is the number of seconds a connection needs to remain idle before TCP 
1912 starts sending keepalive probes;
1913 .I probes
1914 is the maximum number of keepalive probes TCP should send before dropping
1915 the connection;
1916 .I interval
1917 is interval in seconds between individual keepalive probes.
1918 Only some systems support the customization of these values;
1919 the
1920 .B keepalive
1921 parameter is ignored otherwise, and system-wide settings are used.
1922
1923 The
1924 .B starttls
1925 parameter specifies use of the StartTLS extended operation
1926 to establish a TLS session before Binding to the provider. If the
1927 .B critical
1928 argument is supplied, the session will be aborted if the StartTLS request
1929 fails. Otherwise the syncrepl session continues without TLS. The
1930 tls_reqcert setting defaults to "demand" and the other TLS settings
1931 default to the same as the main slapd TLS settings.
1932
1933 The
1934 .B suffixmassage
1935 parameter allows the consumer to pull entries from a remote directory
1936 whose DN suffix differs from the local directory. The portion of the
1937 remote entries' DNs that matches the \fIsearchbase\fP will be replaced
1938 with the suffixmassage DN.
1939
1940 Rather than replicating whole entries, the consumer can query logs of
1941 data modifications. This mode of operation is referred to as \fIdelta
1942 syncrepl\fP. In addition to the above parameters, the
1943 .B logbase
1944 and
1945 .B logfilter
1946 parameters must be set appropriately for the log that will be used. The
1947 .B syncdata
1948 parameter must be set to either "accesslog" if the log conforms to the
1949 .BR slapo\-accesslog (5)
1950 log format, or "changelog" if the log conforms
1951 to the obsolete \fIchangelog\fP format. If the
1952 .B syncdata
1953 parameter is omitted or set to "default" then the log parameters are
1954 ignored.
1955 .RE
1956 .TP
1957 .B olcUpdateDN: <dn>
1958 This option is only applicable in a slave
1959 database.
1960 It specifies the DN permitted to update (subject to access controls)
1961 the replica.  It is only needed in certain push-mode
1962 replication scenarios.  Generally, this DN
1963 .I should not
1964 be the same as the
1965 .B rootdn 
1966 used at the master.
1967 .TP
1968 .B olcUpdateRef: <url>
1969 Specify the referral to pass back when
1970 .BR slapd (8)
1971 is asked to modify a replicated local database.
1972 If multiple values are specified, each url is provided.
1973
1974 .SH DATABASE-SPECIFIC OPTIONS
1975 Each database may allow specific configuration options; they are
1976 documented separately in the backends' manual pages. See the
1977 .BR slapd.backends (5)
1978 manual page for an overview of available backends.
1979 .SH OVERLAYS
1980 An overlay is a piece of
1981 code that intercepts database operations in order to extend or change
1982 them. Overlays are pushed onto
1983 a stack over the database, and so they will execute in the reverse
1984 of the order in which they were configured and the database itself
1985 will receive control last of all.
1986
1987 Overlays must be configured as child entries of a specific database. The
1988 entry's RDN must be of the form
1989 .B olcOverlay={x}<overlaytype>
1990 and the entry must have the olcOverlayConfig objectClass. Normally the
1991 config engine generates the "{x}" index in the RDN automatically, so
1992 it can be omitted when initially loading these entries.
1993
1994 See the
1995 .BR slapd.overlays (5)
1996 manual page for an overview of available overlays.
1997 .SH EXAMPLES
1998 .LP
1999 Here is a short example of a configuration in LDIF suitable for use with
2000 .BR slapadd (8)
2001 :
2002 .LP
2003 .RS
2004 .nf
2005 dn: cn=config
2006 objectClass: olcGlobal
2007 cn: config
2008 olcPidFile: LOCALSTATEDIR/run/slapd.pid
2009 olcAttributeOptions: x\-hidden lang\-
2010
2011 dn: cn=schema,cn=config
2012 objectClass: olcSchemaConfig
2013 cn: schema
2014
2015 include: file://SYSCONFDIR/schema/core.ldif
2016
2017 dn: olcDatabase=frontend,cn=config
2018 objectClass: olcDatabaseConfig
2019 objectClass: olcFrontendConfig
2020 olcDatabase: frontend
2021 # Subtypes of "name" (e.g. "cn" and "ou") with the
2022 # option ";x\-hidden" can be searched for/compared,
2023 # but are not shown.  See \fBslapd.access\fP(5).
2024 olcAccess: to attrs=name;x\-hidden by * =cs
2025 # Protect passwords.  See \fBslapd.access\fP(5).
2026 olcAccess: to attrs=userPassword  by * auth
2027 # Read access to other attributes and entries.
2028 olcAccess: to * by * read
2029
2030 # set a rootpw for the config database so we can bind.
2031 # deny access to everyone else.
2032 dn: olcDatabase=config,cn=config
2033 objectClass: olcDatabaseConfig
2034 olcDatabase: config
2035 olcRootPW: {SSHA}XKYnrjvGT3wZFQrDD5040US592LxsdLy
2036 olcAccess: to * by * none
2037
2038 dn: olcDatabase=bdb,cn=config
2039 objectClass: olcDatabaseConfig
2040 objectClass: olcBdbConfig
2041 olcDatabase: bdb
2042 olcSuffix: "dc=our\-domain,dc=com"
2043 # The database directory MUST exist prior to
2044 # running slapd AND should only be accessible
2045 # by the slapd/tools. Mode 0700 recommended.
2046 olcDbDirectory: LOCALSTATEDIR/openldap\-data
2047 # Indices to maintain
2048 olcDbIndex:     objectClass  eq
2049 olcDbIndex:     cn,sn,mail   pres,eq,approx,sub
2050
2051 # We serve small clients that do not handle referrals,
2052 # so handle remote lookups on their behalf.
2053 dn: olcDatabase=ldap,cn=config
2054 objectClass: olcDatabaseConfig
2055 objectClass: olcLdapConfig
2056 olcDatabase: ldap
2057 olcSuffix: ""
2058 olcDbUri: ldap://ldap.some\-server.com/
2059 .fi
2060 .RE
2061 .LP
2062 Assuming the above data was saved in a file named "config.ldif" and the
2063 ETCDIR/slapd.d directory has been created, this command will initialize
2064 the configuration:
2065 .RS
2066 .nf
2067 slapadd \-F ETCDIR/slapd.d \-n 0 \-l config.ldif
2068 .fi
2069 .RE
2070
2071 .LP
2072 "OpenLDAP Administrator's Guide" contains a longer annotated
2073 example of a slapd configuration.
2074
2075 Alternatively, an existing slapd.conf file can be converted to the new
2076 format using slapd or any of the slap tools:
2077 .RS
2078 .nf
2079 slaptest \-f ETCDIR/slapd.conf \-F ETCDIR/slapd.d
2080 .fi
2081 .RE
2082
2083 .SH FILES
2084 .TP
2085 ETCDIR/slapd.conf
2086 default slapd configuration file
2087 .TP
2088 ETCDIR/slapd.d
2089 default slapd configuration directory
2090 .SH SEE ALSO
2091 .BR ldap (3),
2092 .BR ldif (5),
2093 .BR gnutls\-cli (1),
2094 .BR slapd.access (5),
2095 .BR slapd.backends (5),
2096 .BR slapd.conf (5),
2097 .BR slapd.overlays (5),
2098 .BR slapd.plugin (5),
2099 .BR slapd (8),
2100 .BR slapacl (8),
2101 .BR slapadd (8),
2102 .BR slapauth (8),
2103 .BR slapcat (8),
2104 .BR slapdn (8),
2105 .BR slapindex (8),
2106 .BR slappasswd (8),
2107 .BR slaptest (8).
2108 .LP
2109 "OpenLDAP Administrator's Guide" (http://www.OpenLDAP.org/doc/admin/)
2110 .SH ACKNOWLEDGEMENTS
2111 .so ../Project