]> git.sur5r.net Git - openldap/blob - doc/man/man5/slapd-meta.5
ITS#7928 fix syncprov abandon cleanup
[openldap] / doc / man / man5 / slapd-meta.5
1 .TH SLAPD-META 5 "RELEASEDATE" "OpenLDAP LDVERSION"
2 .\" Copyright 1998-2014 The OpenLDAP Foundation, All Rights Reserved.
3 .\" Copying restrictions apply.  See the COPYRIGHT file.
4 .\" Copyright 2001, Pierangelo Masarati, All rights reserved. <ando@sys-net.it>
5 .\" $OpenLDAP$
6 .\"
7 .\" Portions of this document should probably be moved to slapd-ldap(5)
8 .\" and maybe manual pages for librewrite.
9 .\"
10 .SH NAME
11 slapd\-meta \- metadirectory backend to slapd
12 .SH SYNOPSIS
13 ETCDIR/slapd.conf
14 .SH DESCRIPTION
15 The
16 .B meta
17 backend to
18 .BR slapd (8)
19 performs basic LDAP proxying with respect to a set of remote LDAP
20 servers, called "targets".
21 The information contained in these servers can be presented as
22 belonging to a single Directory Information Tree (DIT).
23 .LP
24 A basic knowledge of the functionality of the
25 .BR slapd\-ldap (5)
26 backend is recommended.
27 This backend has been designed as an enhancement of the ldap backend.
28 The two backends share many features (actually they also share
29 portions of code).
30 While the
31 .B ldap
32 backend is intended to proxy operations directed to a single server, the
33 .B meta
34 backend is mainly intended for proxying of multiple servers and possibly
35 naming context masquerading.
36 These features, although useful in many scenarios, may result in
37 excessive overhead for some applications, so its use should be
38 carefully considered.
39 In the examples section, some typical scenarios will be discussed.
40
41 The proxy instance of
42 .BR slapd (8)
43 must contain schema information for the attributes and objectClasses
44 used in filters, request DN and request-related data in general.
45 It should also contain schema information for the data returned
46 by the proxied server.
47 It is the responsibility of the proxy administrator to keep the schema
48 of the proxy lined up with that of the proxied server.
49
50 .LP
51 Note: When looping back to the same instance of \fBslapd\fP(8), 
52 each connection requires a new thread; as a consequence, \fBslapd\fP(8)
53 must be compiled with thread support, and the \fBthreads\fP parameter 
54 may need some tuning; in those cases, unless the multiple target feature
55 is required, one may consider using \fBslapd\-relay\fP(5) instead, 
56 which performs the relayed operation internally and thus reuses 
57 the same connection.
58
59 .SH EXAMPLES
60 There are examples in various places in this document, as well as in the
61 slapd/back\-meta/data/ directory in the OpenLDAP source tree.
62 .SH CONFIGURATION
63 These
64 .B slapd.conf
65 options apply to the META backend database.
66 That is, they must follow a "database meta" line and come before any
67 subsequent "backend" or "database" lines.
68 Other database options are described in the
69 .BR slapd.conf (5)
70 manual page.
71 .LP
72 Note: In early versions of back-ldap and back-meta it was recommended to always set
73 .LP
74 .RS
75 .nf
76 lastmod  off
77 .fi
78 .RE
79 .LP
80 for 
81 .B ldap
82 and
83 .B meta
84 databases.
85 This was required because operational attributes related to entry creation 
86 and modification should not be proxied, as they could be mistakenly written
87 to the target server(s), generating an error.
88 The current implementation automatically sets lastmod to \fBoff\fP, 
89 so its use is redundant and should be omitted.
90
91 .SH SPECIAL CONFIGURATION DIRECTIVES
92 Target configuration starts with the "uri" directive.
93 All the configuration directives that are not specific to targets
94 should be defined first for clarity, including those that are common
95 to all backends.
96 They are:
97
98 .TP
99 .B conn\-ttl <time>
100 This directive causes a cached connection to be dropped an recreated
101 after a given ttl, regardless of being idle or not.
102
103 .TP
104 .B default\-target none
105 This directive forces the backend to reject all those operations
106 that must resolve to a single target in case none or multiple
107 targets are selected.
108 They include: add, delete, modify, modrdn; compare is not included, as
109 well as bind since, as they don't alter entries, in case of multiple
110 matches an attempt is made to perform the operation on any candidate
111 target, with the constraint that at most one must succeed.
112 This directive can also be used when processing targets to mark a
113 specific target as default.
114
115 .TP
116 .B dncache\-ttl {DISABLED|forever|<ttl>}
117 This directive sets the time-to-live of the DN cache.
118 This caches the target that holds a given DN to speed up target
119 selection in case multiple targets would result from an uncached
120 search; forever means cache never expires; disabled means no DN
121 caching; otherwise a valid ( > 0 ) ttl is required, in the format
122 illustrated for the 
123 .B idle\-timeout
124 directive.
125
126 .TP
127 .B onerr {CONTINUE|report|stop}
128 This directive allows to select the behavior in case an error is returned
129 by one target during a search.
130 The default, \fBcontinue\fP, consists in continuing the operation, 
131 trying to return as much data as possible.
132 If the value is set to \fBstop\fP, the search is terminated as soon 
133 as an error is returned by one target, and the error is immediately 
134 propagated to the client.
135 If the value is set to \fBreport\fP, the search is continuated to the end
136 but, in case at least one target returned an error code, the first
137 non-success error code is returned.
138
139 .TP
140 .B norefs <NO|yes>
141 If
142 .BR yes ,
143 do not return search reference responses.
144 By default, they are returned unless request is LDAPv2.
145 If set before any target specification, it affects all targets, unless
146 overridden by any per-target directive.
147
148 .TP
149 .B noundeffilter <NO|yes>
150 If
151 .BR yes ,
152 return success instead of searching if a filter is undefined or contains
153 undefined portions.
154 By default, the search is propagated after replacing undefined portions
155 with
156 .BR (!(objectClass=*)) ,
157 which corresponds to the empty result set.
158 If set before any target specification, it affects all targets, unless
159 overridden by any per-target directive.
160
161 .TP
162 .B protocol\-version {0,2,3}
163 This directive indicates what protocol version must be used to contact
164 the remote server.
165 If set to 0 (the default), the proxy uses the same protocol version 
166 used by the client, otherwise the requested protocol is used.
167 The proxy returns \fIunwillingToPerform\fP if an operation that is 
168 incompatible with the requested protocol is attempted.
169 If set before any target specification, it affects all targets, unless
170 overridden by any per-target directive.
171
172 .TP
173 .B pseudoroot\-bind\-defer {YES|no}
174 This directive, when set to 
175 .BR yes ,
176 causes the authentication to the remote servers with the pseudo-root
177 identity (the identity defined in each
178 .B idassert-bind
179 directive) to be deferred until actually needed by subsequent operations.
180 Otherwise, all binds as the rootdn are propagated to the targets.
181
182 .TP
183 .B quarantine <interval>,<num>[;<interval>,<num>[...]]
184 Turns on quarantine of URIs that returned
185 .IR LDAP_UNAVAILABLE ,
186 so that an attempt to reconnect only occurs at given intervals instead
187 of any time a client requests an operation.
188 The pattern is: retry only after at least
189 .I interval
190 seconds elapsed since last attempt, for exactly
191 .I num
192 times; then use the next pattern.
193 If
194 .I num
195 for the last pattern is "\fB+\fP", it retries forever; otherwise, 
196 no more retries occur.
197 This directive must appear before any target specification;
198 it affects all targets with the same pattern.
199
200 .TP
201 .B rebind\-as\-user {NO|yes}
202 If this option is given, the client's bind credentials are remembered
203 for rebinds, when trying to re-establish a broken connection,
204 or when chasing a referral, if 
205 .B chase\-referrals
206 is set to
207 .IR yes .
208
209 .TP
210 .B session\-tracking\-request {NO|yes}
211 Adds session tracking control for all requests.
212 The client's IP and hostname, and the identity associated to each request,
213 if known, are sent to the remote server for informational purposes.
214 This directive is incompatible with setting \fIprotocol\-version\fP to 2.
215 If set before any target specification, it affects all targets, unless
216 overridden by any per-target directive.
217
218 .TP
219 .B single\-conn {NO|yes}
220 Discards current cached connection when the client rebinds.
221
222 .TP
223 .B use\-temporary\-conn {NO|yes}
224 when set to 
225 .BR yes ,
226 create a temporary connection whenever competing with other threads
227 for a shared one; otherwise, wait until the shared connection is available.
228
229 .SH TARGET SPECIFICATION
230 Target specification starts with a "uri" directive:
231
232 .TP
233 .B uri <protocol>://[<host>]/<naming context> [...]
234 The <protocol> part can be anything
235 .BR ldap_initialize (3)
236 accepts ({ldap|ldaps|ldapi} and variants); the <host> may be
237 omitted, defaulting to whatever is set in
238 .BR ldap.conf (5).
239 The <naming context> part is \fImandatory\fP for the first URI,
240 but it \fImust be omitted\fP for subsequent ones, if any.
241 The naming context part must be within the naming context defined for the backend,
242 e.g.:
243 .LP
244 .RS
245 .nf
246 suffix "\fBdc=foo,dc=com\fP"
247 uri    "ldap://x.foo.com/dc=x,\fBdc=foo,dc=com\fP"
248 .fi
249
250 .RE
251 .RS
252 The <naming context> part doesn't need to be unique across the targets;
253 it may also match one of the values of the "suffix" directive.
254 Multiple URIs may be defined in a single URI statement.
255 The additional URIs must be separate arguments and must not have any
256 <naming context> part.  This causes the underlying library
257 to contact the first server of the list that responds.
258 For example, if \fIl1.foo.com\fP and \fIl2.foo.com\fP are shadows
259 of the same server, the directive
260 .LP
261 .nf
262 suffix "\fBdc=foo,dc=com\fP"
263 uri    "ldap://l1.foo.com/\fBdc=foo,dc=com\fP" "ldap://l2.foo.com/"
264 .fi
265
266 .RE
267 .RS
268 causes \fIl2.foo.com\fP to be contacted whenever \fIl1.foo.com\fP
269 does not respond.
270 In that case, the URI list is internally rearranged, by moving unavailable
271 URIs to the end, so that further connection attempts occur with respect to
272 the last URI that succeeded.
273 .RE
274
275 .TP
276 .B acl\-authcDN "<administrative DN for access control purposes>"
277 DN which is used to query the target server for acl checking,
278 as in the LDAP backend; it is supposed to have read access 
279 on the target server to attributes used on the proxy for acl checking.
280 There is no risk of giving away such values; they are only used to
281 check permissions.
282 .B The acl\-authcDN identity is by no means implicitly used by the proxy 
283 .B when the client connects anonymously.
284
285 .TP
286 .B acl\-passwd <password>
287 Password used with the
288 .B 
289 acl\-authcDN
290 above.
291
292 .TP
293 .B bind\-timeout <microseconds>
294 This directive defines the timeout, in microseconds, used when polling
295 for response after an asynchronous bind connection.  The initial call
296 to ldap_result(3) is performed with a trade-off timeout of 100000 us;
297 if that results in a timeout exceeded, subsequent calls use the value
298 provided with
299 .BR bind\-timeout .
300 The default value is used also for subsequent calls if
301 .B bind\-timeout
302 is not specified.
303 If set before any target specification, it affects all targets, unless
304 overridden by any per-target directive.
305
306 .TP
307 .B chase\-referrals {YES|no}
308 enable/disable automatic referral chasing, which is delegated to the
309 underlying libldap, with rebinding eventually performed if the
310 \fBrebind\-as\-user\fP directive is used.  The default is to chase referrals.
311 If set before any target specification, it affects all targets, unless
312 overridden by any per-target directive.
313
314 .TP
315 .B client\-pr {accept-unsolicited|DISABLE|<size>}
316 This feature allows to use RFC 2696 Paged Results control when performing
317 search operations with a specific target,
318 irrespective of the client's request.
319 When set to a numeric value, Paged Results control is always
320 used with \fIsize\fP as the page size.
321 When set to \fIaccept-unsolicited\fP, unsolicited Paged Results
322 control responses are accepted and honored
323 for compatibility with broken remote DSAs.
324 The client is not exposed to paged results handling
325 between
326 .BR slapd\-meta (5)
327 and the remote servers.
328 By default (disabled), Paged Results control is not used
329 and responses are not accepted.
330 If set before any target specification, it affects all targets, unless
331 overridden by any per-target directive.
332
333 .TP
334 .B default\-target [<target>]
335 The "default\-target" directive can also be used during target specification.
336 With no arguments it marks the current target as the default.
337 The optional number marks target <target> as the default one, starting
338 from 1.
339 Target <target> must be defined.
340
341 .TP
342 .B filter <pattern>
343 This directive allows specifying a
344 .BR regex (5)
345 pattern to indicate what search filter terms are actually served by a target.
346
347 In a search request, if the search filter matches the \fIpattern\fP
348 the target is considered while fulfilling the request; otherwise
349 the target is ignored. There may be multiple occurrences of
350 the
351 .B filter
352 directive for each target.
353
354 .TP
355 .B idassert\-authzFrom <authz-regexp>
356 if defined, selects what
357 .I local
358 identities are authorized to exploit the identity assertion feature.
359 The string
360 .B <authz-regexp>
361 follows the rules defined for the
362 .I authzFrom
363 attribute.
364 See 
365 .BR slapd.conf (5),
366 section related to
367 .BR authz\-policy ,
368 for details on the syntax of this field.
369
370 .HP
371 .hy 0
372 .B idassert\-bind
373 .B bindmethod=none|simple|sasl [binddn=<simple DN>] [credentials=<simple password>]
374 .B [saslmech=<SASL mech>] [secprops=<properties>] [realm=<realm>]
375 .B [authcId=<authentication ID>] [authzId=<authorization ID>]
376 .B [authz={native|proxyauthz}] [mode=<mode>] [flags=<flags>]
377 .B [starttls=no|yes|critical]
378 .B [tls_cert=<file>]
379 .B [tls_key=<file>]
380 .B [tls_cacert=<file>]
381 .B [tls_cacertdir=<path>]
382 .B [tls_reqcert=never|allow|try|demand]
383 .B [tls_ciphersuite=<ciphers>]
384 .B [tls_protocol_min=<major>[.<minor>]]
385 .B [tls_crlcheck=none|peer|all]
386 .RS
387 Allows to define the parameters of the authentication method that is 
388 internally used by the proxy to authorize connections that are 
389 authenticated by other databases.
390 The identity defined by this directive, according to the properties
391 associated to the authentication method, is supposed to have auth access 
392 on the target server to attributes used on the proxy for authentication
393 and authorization, and to be allowed to authorize the users.
394 This requires to have
395 .B proxyAuthz
396 privileges on a wide set of DNs, e.g.
397 .BR authzTo=dn.subtree:"" ,
398 and the remote server to have
399 .B authz\-policy
400 set to
401 .B to
402 or
403 .BR both .
404 See
405 .BR slapd.conf (5)
406 for details on these statements and for remarks and drawbacks about
407 their usage.
408 The supported bindmethods are
409
410 \fBnone|simple|sasl\fP
411
412 where
413 .B none
414 is the default, i.e. no \fIidentity assertion\fP is performed.
415
416 The authz parameter is used to instruct the SASL bind to exploit 
417 .B native 
418 SASL authorization, if available; since connections are cached,
419 this should only be used when authorizing with a fixed identity
420 (e.g. by means of the 
421 .B authzDN
422 or
423 .B authzID
424 parameters).
425 Otherwise, the default
426 .B proxyauthz
427 is used, i.e. the proxyAuthz control (Proxied Authorization, RFC 4370)
428 is added to all operations.
429
430 The supported modes are:
431
432 \fB<mode> := {legacy|anonymous|none|self}\fP
433
434 If 
435 .B <mode>
436 is not present, and 
437 .B authzId
438 is given, the proxy always authorizes that identity.
439 .B <authorization ID>
440 can be 
441
442 \fBu:<user>\fP
443
444 \fB[dn:]<DN>\fP
445
446 The former is supposed to be expanded by the remote server according 
447 to the authz rules; see
448 .BR slapd.conf (5)
449 for details.
450 In the latter case, whether or not the 
451 .B dn:
452 prefix is present, the string must pass DN validation and normalization.
453
454 The default mode is 
455 .BR legacy ,
456 which implies that the proxy will either perform a simple bind as the
457 .I authcDN
458 or a SASL bind as the
459 .I authcID
460 and assert the client's identity when it is not anonymous.
461 Direct binds are always proxied.
462 The other modes imply that the proxy will always either perform a simple bind 
463 as the
464 .IR authcDN
465 or a SASL bind as the
466 .IR authcID ,
467 unless restricted by
468 .BR idassert\-authzFrom
469 rules (see below), in which case the operation will fail;
470 eventually, it will assert some other identity according to
471 .BR <mode> .
472 Other identity assertion modes are
473 .BR anonymous
474 and
475 .BR self ,
476 which respectively mean that the 
477 .I empty 
478 or the 
479 .IR client 's 
480 identity
481 will be asserted;
482 .BR none ,
483 which means that no proxyAuthz control will be used, so the
484 .I authcDN
485 or the
486 .I authcID
487 identity will be asserted.
488 For all modes that require the use of the
489 .I proxyAuthz 
490 control, on the remote server the proxy identity must have appropriate 
491 .I authzTo
492 permissions, or the asserted identities must have appropriate
493 .I authzFrom 
494 permissions.  Note, however, that the ID assertion feature is mostly 
495 useful when the asserted identities do not exist on the remote server.
496
497 Flags can be
498
499 \fBoverride,[non\-]prescriptive,proxy\-authz\-[non\-]critical\fP
500
501 When the 
502 .B override
503 flag is used, identity assertion takes place even when the database
504 is authorizing for the identity of the client, i.e. after binding
505 with the provided identity, and thus authenticating it, the proxy
506 performs the identity assertion using the configured identity and
507 authentication method.
508
509 When the
510 .B prescriptive
511 flag is used (the default), operations fail with
512 \fIinappropriateAuthentication\fP
513 for those identities whose assertion is not allowed by the
514 .B idassert\-authzFrom
515 patterns.
516 If the 
517 .B non\-prescriptive
518 flag is used, operations are performed anonymously for those identities 
519 whose assertion is not allowed by the
520 .B idassert\-authzFrom
521 patterns.
522
523 When the
524 .B proxy\-authz\-non\-critical
525 flag is used (the default), the proxyAuthz control is not marked as critical,
526 in violation of RFC 4370.  Use of
527 .B proxy\-authz\-critical
528 is recommended.
529
530 The TLS settings default to the same as the main slapd TLS settings,
531 except for
532 .B tls_reqcert
533 which defaults to "demand".
534
535 The identity associated to this directive is also used for privileged
536 operations whenever \fBidassert\-bind\fP is defined and \fBacl\-bind\fP
537 is not.  See \fBacl\-bind\fP for details.
538 .RE
539
540 .TP
541 .B idle\-timeout <time>
542 This directive causes a cached connection to be dropped an recreated
543 after it has been idle for the specified time.
544 The value can be specified as
545
546 [<d>d][<h>h][<m>m][<s>[s]]
547
548 where <d>, <h>, <m> and <s> are respectively treated as days, hours, 
549 minutes and seconds.
550 If set before any target specification, it affects all targets, unless
551 overridden by any per-target directive.
552
553 .TP
554 .B keepalive  <idle>:<probes>:<interval>
555 The
556 .B keepalive
557 parameter sets the values of \fIidle\fP, \fIprobes\fP, and \fIinterval\fP
558 used to check whether a socket is alive;
559 .I idle
560 is the number of seconds a connection needs to remain idle before TCP
561 starts sending keepalive probes;
562 .I probes
563 is the maximum number of keepalive probes TCP should send before dropping
564 the connection;
565 .I interval
566 is interval in seconds between individual keepalive probes.
567 Only some systems support the customization of these values;
568 the
569 .B keepalive
570 parameter is ignored otherwise, and system-wide settings are used.
571
572 .TP
573 .B map "{attribute|objectclass} [<local name>|*] {<foreign name>|*}"
574 This maps object classes and attributes as in the LDAP backend.
575 See
576 .BR slapd\-ldap (5).
577
578 .TP
579 .B network\-timeout <time>
580 Sets the network timeout value after which
581 .BR poll (2)/ select (2) 
582 following a 
583 .BR connect (2) 
584 returns in case of no activity.
585 The value is in seconds, and it can be specified as for
586 .BR idle\-timeout .
587 If set before any target specification, it affects all targets, unless
588 overridden by any per-target directive.
589
590 .TP
591 .B nretries {forever|never|<nretries>}
592 This directive defines how many times a bind should be retried
593 in case of temporary failure in contacting a target.  If defined
594 before any target specification, it applies to all targets (by default,
595 .BR 3
596 times);
597 the global value can be overridden by redefinitions inside each target
598 specification.
599
600 .TP
601 .B rewrite* ...
602 The rewrite options are described in the "REWRITING" section.
603
604 .TP
605 .B subtree\-{exclude|include} "<rule>"
606 This directive allows to indicate what subtrees are actually served
607 by a target.
608 The syntax of the supported rules is
609
610 \fB<rule>: [dn[.<style>]:]<pattern>\fP
611
612 \fB<style>: subtree|children|regex\fP
613
614 When \fB<style>\fP is either \fBsubtree\fP or \fBchildren\fP
615 the \fB<pattern>\fP is a DN that must be within the naming context
616 served by the target.
617 When \fB<style>\fP is \fBregex\fP the \fB<pattern>\fP is a
618 .BR regex (5)
619 pattern.
620 If the \fBdn.<style>:\fP prefix is omitted, \fBdn.subtree:\fP
621 is implicitly assumed for backward compatibility.
622
623 In the
624 .B subtree\-exclude
625 form if the \fIrequest DN\fP matches at least one rule,
626 the target is not considered while fulfilling the request;
627 otherwise, the target is considered based on the value of the \fIrequest DN\fP.
628 When the request is a search, also the \fIscope\fP is considered.
629
630 In the
631 .B subtree\-include
632 form if the \fIrequest DN\fP matches at least one rule,
633 the target is considered while fulfilling the request;
634 otherwise the target is ignored.
635
636 .LP
637 .RS
638 .nf
639     |  match  | exclude |
640     +---------+---------+-------------------+
641     |    T    |    T    | not candidate     |
642     |    F    |    T    | continue checking |
643     +---------+---------+-------------------+
644     |    T    |    F    | candidate         |
645     |    F    |    F    | not candidate     |
646     +---------+---------+-------------------+
647 .fi
648
649 .RE
650 .RS
651 There may be multiple occurrences of the
652 .B subtree\-exclude
653 or
654 .B subtree\-include
655 directive for each of the targets, but they are mutually exclusive.
656 .RE
657
658 .TP
659 .B suffixmassage "<virtual naming context>" "<real naming context>"
660 All the directives starting with "rewrite" refer to the rewrite engine
661 that has been added to slapd.
662 The "suffixmassage" directive was introduced in the LDAP backend to
663 allow suffix massaging while proxying.
664 It has been obsoleted by the rewriting tools.
665 However, both for backward compatibility and for ease of configuration
666 when simple suffix massage is required, it has been preserved.
667 It wraps the basic rewriting instructions that perform suffix
668 massaging.  See the "REWRITING" section for a detailed list 
669 of the rewrite rules it implies.
670
671 .TP
672 .B t\-f\-support {NO|yes|discover}
673 enable if the remote server supports absolute filters
674 (see \fIRFC 4526\fP for details).
675 If set to
676 .BR discover ,
677 support is detected by reading the remote server's root DSE.
678 If set before any target specification, it affects all targets, unless
679 overridden by any per-target directive.
680
681 .TP
682 .B timeout [<op>=]<val> [...]
683 This directive allows to set per-operation timeouts.
684 Operations can be
685
686 \fB<op> ::= bind, add, delete, modrdn, modify, compare, search\fP
687
688 The overall duration of the \fBsearch\fP operation is controlled either
689 by the \fBtimelimit\fP parameter or by server-side enforced
690 time limits (see \fBtimelimit\fP and \fBlimits\fP in
691 .BR slapd.conf (5)
692 for details).
693 This \fBtimeout\fP parameter controls how long the target can be 
694 irresponsive before the operation is aborted.
695 Timeout is meaningless for the remaining operations,
696 \fBunbind\fP and \fBabandon\fP, which do not imply any response,
697 while it is not yet implemented in currently supported \fBextended\fP 
698 operations.
699 If no operation is specified, the timeout \fBval\fP affects all
700 supported operations.
701 If specified before any target definition, it affects all targets
702 unless overridden by per-target directives.
703
704 Note: if the timeout is exceeded, the operation is cancelled
705 (according to the \fBcancel\fP directive);
706 the protocol does not provide any means to rollback operations,
707 so the client will not be notified about the result of the operation,
708 which may eventually succeeded or not.
709 In case the timeout is exceeded during a bind operation, the connection
710 is destroyed, according to RFC4511.
711
712 .TP
713 .B tls {[try\-]start|[try\-]propagate}
714 execute the StartTLS extended operation when the connection is initialized;
715 only works if the URI directive protocol scheme is not \fBldaps://\fP.
716 \fBpropagate\fP issues the StartTLS operation only if the original
717 connection did.
718 The \fBtry\-\fP prefix instructs the proxy to continue operations
719 if the StartTLS operation failed; its use is highly deprecated.
720 If set before any target specification, it affects all targets, unless
721 overridden by any per-target directive.
722
723 .SH SCENARIOS
724 A powerful (and in some sense dangerous) rewrite engine has been added
725 to both the LDAP and Meta backends.
726 While the former can gain limited beneficial effects from rewriting
727 stuff, the latter can become an amazingly powerful tool.
728 .LP
729 Consider a couple of scenarios first.
730 .LP
731 1) Two directory servers share two levels of naming context;
732 say "dc=a,dc=foo,dc=com" and "dc=b,dc=foo,dc=com".
733 Then, an unambiguous Meta database can be configured as:
734 .LP
735 .RS
736 .nf
737 database meta
738 suffix   "\fBdc=foo,dc=com\fP"
739 uri      "ldap://a.foo.com/dc=a,\fBdc=foo,dc=com\fP"
740 uri      "ldap://b.foo.com/dc=b,\fBdc=foo,dc=com\fP"
741 .fi
742 .RE
743 .LP
744 Operations directed to a specific target can be easily resolved
745 because there are no ambiguities.
746 The only operation that may resolve to multiple targets is a search
747 with base "dc=foo,dc=com" and scope at least "one", which results in
748 spawning two searches to the targets.
749 .LP
750 2a) Two directory servers don't share any portion of naming context,
751 but they'd present as a single DIT
752 [Caveat: uniqueness of (massaged) entries among the two servers is
753 assumed; integrity checks risk to incur in excessive overhead and have
754 not been implemented].
755 Say we have "dc=bar,dc=org" and "o=Foo,c=US",
756 and we'd like them to appear as branches of "dc=foo,dc=com", say
757 "dc=a,dc=foo,dc=com" and "dc=b,dc=foo,dc=com".
758 Then we need to configure our Meta backend as:
759 .LP
760 .RS
761 .nf
762 database      meta
763 suffix        "dc=foo,dc=com"
764
765 uri           "ldap://a.bar.com/\fBdc=a,dc=foo,dc=com\fP"
766 suffixmassage "\fBdc=a,dc=foo,dc=com\fP" "dc=bar,dc=org"
767
768 uri           "ldap://b.foo.com/\fBdc=b,dc=foo,dc=com\fP"
769 suffixmassage "\fBdc=b,dc=foo,dc=com\fP" "o=Foo,c=US"
770 .fi
771 .RE
772 .LP
773 Again, operations can be resolved without ambiguity, although
774 some rewriting is required.
775 Notice that the virtual naming context of each target is a branch of
776 the database's naming context; it is rewritten back and forth when
777 operations are performed towards the target servers.
778 What "back and forth" means will be clarified later.
779 .LP
780 When a search with base "dc=foo,dc=com" is attempted, if the 
781 scope is "base" it fails with "no such object"; in fact, the
782 common root of the two targets (prior to massaging) does not
783 exist.
784 If the scope is "one", both targets are contacted with the base
785 replaced by each target's base; the scope is derated to "base".
786 In general, a scope "one" search is honored, and the scope is derated,
787 only when the incoming base is at most one level lower of a target's
788 naming context (prior to massaging).
789 .LP
790 Finally, if the scope is "sub" the incoming base is replaced
791 by each target's unmassaged naming context, and the scope
792 is not altered.
793 .LP
794 2b) Consider the above reported scenario with the two servers
795 sharing the same naming context:
796 .LP
797 .RS
798 .nf
799 database      meta
800 suffix        "\fBdc=foo,dc=com\fP"
801
802 uri           "ldap://a.bar.com/\fBdc=foo,dc=com\fP"
803 suffixmassage "\fBdc=foo,dc=com\fP" "dc=bar,dc=org"
804
805 uri           "ldap://b.foo.com/\fBdc=foo,dc=com\fP"
806 suffixmassage "\fBdc=foo,dc=com\fP" "o=Foo,c=US"
807 .fi
808 .RE
809 .LP
810 All the previous considerations hold, except that now there is
811 no way to unambiguously resolve a DN.
812 In this case, all the operations that require an unambiguous target
813 selection will fail unless the DN is already cached or a default
814 target has been set.
815 Practical configurations may result as a combination of all the
816 above scenarios.
817 .SH ACLs
818 Note on ACLs: at present you may add whatever ACL rule you desire
819 to to the Meta (and LDAP) backends.
820 However, the meaning of an ACL on a proxy may require some
821 considerations.
822 Two philosophies may be considered:
823 .LP
824 a) the remote server dictates the permissions; the proxy simply passes
825 back what it gets from the remote server.
826 .LP
827 b) the remote server unveils "everything"; the proxy is responsible
828 for protecting data from unauthorized access.
829 .LP
830 Of course the latter sounds unreasonable, but it is not.
831 It is possible to imagine scenarios in which a remote host discloses
832 data that can be considered "public" inside an intranet, and a proxy
833 that connects it to the internet may impose additional constraints.
834 To this purpose, the proxy should be able to comply with all the ACL
835 matching criteria that the server supports.
836 This has been achieved with regard to all the criteria supported by
837 slapd except a special subtle case (please file an ITS if you can
838 find other exceptions: <http://www.openldap.org/its/>).
839 The rule
840 .LP
841 .RS
842 .nf
843 access to dn="<dn>" attrs=<attr>
844        by dnattr=<dnattr> read
845        by * none
846 .fi
847 .RE
848 .LP
849 cannot be matched iff the attribute that is being requested, <attr>,
850 is NOT <dnattr>, and the attribute that determines membership,
851 <dnattr>, has not been requested (e.g. in a search)
852 .LP
853 In fact this ACL is resolved by slapd using the portion of entry it
854 retrieved from the remote server without requiring any further
855 intervention of the backend, so, if the <dnattr> attribute has not
856 been fetched, the match cannot be assessed because the attribute is
857 not present, not because no value matches the requirement!
858 .LP
859 Note on ACLs and attribute mapping: ACLs are applied to the mapped
860 attributes; for instance, if the attribute locally known as "foo" is
861 mapped to "bar" on a remote server, then local ACLs apply to attribute
862 "foo" and are totally unaware of its remote name.
863 The remote server will check permissions for "bar", and the local
864 server will possibly enforce additional restrictions to "foo".
865 .\"
866 .\" If this section is moved, also update the reference in
867 .\" libraries/librewrite/RATIONALE.
868 .\"
869 .SH REWRITING
870 A string is rewritten according to a set of rules, called a `rewrite
871 context'.
872 The rules are based on POSIX (''extended'') regular expressions (regex)
873 with substring matching; basic variable substitution and map resolution 
874 of substrings is allowed by specific mechanisms detailed in the following.
875 The behavior of pattern matching/substitution can be altered by a set
876 of flags.
877 .LP
878 The underlying concept is to build a lightweight rewrite module
879 for the slapd server (initially dedicated to the LDAP backend).
880 .SH Passes
881 An incoming string is matched against a set of rules.
882 Rules are made of a regex match pattern, a substitution pattern
883 and a set of actions, described by a set of flags.
884 In case of match a string rewriting is performed according to the
885 substitution pattern that allows to refer to substrings matched in the
886 incoming string.
887 The actions, if any, are finally performed.
888 The substitution pattern allows map resolution of substrings.
889 A map is a generic object that maps a substitution pattern to a value.
890 The flags are divided in "Pattern matching Flags" and "Action Flags";
891 the former alter the regex match pattern behavior while the latter
892 alter the action that is taken after substitution.
893 .SH "Pattern Matching Flags"
894 .TP
895 .B `C'
896 honors case in matching (default is case insensitive)
897 .TP
898 .B `R'
899 use POSIX ''basic'' regular expressions (default is ''extended'')
900 .TP
901 .B `M{n}'
902 allow no more than
903 .B n
904 recursive passes for a specific rule; does not alter the max total count
905 of passes, so it can only enforce a stricter limit for a specific rule.
906 .SH "Action Flags"
907 .TP
908 .B `:'
909 apply the rule once only (default is recursive)
910 .TP
911 .B `@'
912 stop applying rules in case of match; the current rule is still applied 
913 recursively; combine with `:' to apply the current rule only once 
914 and then stop.
915 .TP
916 .B `#'
917 stop current operation if the rule matches, and issue an `unwilling to
918 perform' error.
919 .TP
920 .B `G{n}'
921 jump
922 .B n
923 rules back and forth (watch for loops!).
924 Note that `G{1}' is implicit in every rule.
925 .TP
926 .B `I'
927 ignores errors in rule; this means, in case of error, e.g. issued by a
928 map, the error is treated as a missed match.
929 The `unwilling to perform' is not overridden.
930 .TP
931 .B `U{n}'
932 uses
933 .B
934 n
935 as return code if the rule matches; the flag does not alter the recursive
936 behavior of the rule, so, to have it performed only once, it must be used 
937 in combination with `:', e.g.
938 .B `:U{16}'
939 returns the value `16' after exactly one execution of the rule, if the
940 pattern matches.
941 As a consequence, its behavior is equivalent to `@', with the return
942 code set to
943 .BR n ;
944 or, in other words, `@' is equivalent to `U{0}'.
945 By convention, the freely available codes are above 16 included;
946 the others are reserved.
947 .LP
948 The ordering of the flags can be significant.
949 For instance: `IG{2}' means ignore errors and jump two lines ahead
950 both in case of match and in case of error, while `G{2}I' means ignore
951 errors, but jump two lines ahead only in case of match.
952 .LP
953 More flags (mainly Action Flags) will be added as needed.
954 .SH "Pattern matching:"
955 See
956 .BR regex (7)
957 and/or
958 .BR re_format (7).
959 .SH "Substitution Pattern Syntax:"
960 Everything starting with `%' requires substitution;
961 .LP
962 the only obvious exception is `%%', which is left as is;
963 .LP
964 the basic substitution is `%d', where `d' is a digit;
965 0 means the whole string, while 1-9 is a submatch;
966 .LP
967 a `%' followed by a `{' invokes an advanced substitution.
968 The pattern is:
969 .LP
970 .RS
971 `%' `{' [ <op> ] <name> `(' <substitution> `)' `}'
972 .RE
973 .LP
974 where <name> must be a legal name for the map, i.e.
975 .LP
976 .RS
977 .nf
978 <name> ::= [a-z][a-z0-9]* (case insensitive)
979 <op> ::= `>' `|' `&' `&&' `*' `**' `$'
980 .fi
981 .RE
982 .LP
983 and <substitution> must be a legal substitution
984 pattern, with no limits on the nesting level.
985 .LP
986 The operators are:
987 .TP
988 .B >
989 sub context invocation; <name> must be a legal, already defined
990 rewrite context name
991 .TP
992 .B |
993 external command invocation; <name> must refer to a legal, already
994 defined command name (NOT IMPL.)
995 .TP
996 .B &
997 variable assignment; <name> defines a variable in the running
998 operation structure which can be dereferenced later; operator
999 .B &
1000 assigns a variable in the rewrite context scope; operator
1001 .B &&
1002 assigns a variable that scopes the entire session, e.g. its value
1003 can be dereferenced later by other rewrite contexts
1004 .TP
1005 .B *
1006 variable dereferencing; <name> must refer to a variable that is
1007 defined and assigned for the running operation; operator
1008 .B *
1009 dereferences a variable scoping the rewrite context; operator
1010 .B **
1011 dereferences a variable scoping the whole session, e.g. the value
1012 is passed across rewrite contexts
1013 .TP
1014 .B $
1015 parameter dereferencing; <name> must refer to an existing parameter;
1016 the idea is to make some run-time parameters set by the system
1017 available to the rewrite engine, as the client host name, the bind DN
1018 if any, constant parameters initialized at config time, and so on;
1019 no parameter is currently set by either 
1020 .B back\-ldap
1021 or
1022 .BR back\-meta ,
1023 but constant parameters can be defined in the configuration file
1024 by using the
1025 .B rewriteParam
1026 directive.
1027 .LP
1028 Substitution escaping has been delegated to the `%' symbol, 
1029 which is used instead of `\e' in string substitution patterns
1030 because `\e' is already escaped by slapd's low level parsing routines;
1031 as a consequence, regex escaping requires two `\e' symbols,
1032 e.g. `\fB.*\e.foo\e.bar\fP' must be written as `\fB.*\e\e.foo\e\e.bar\fP'.
1033 .\"
1034 .\" The symbol can be altered at will by redefining the related macro in
1035 .\" "rewrite-int.h".
1036 .\"
1037 .SH "Rewrite context:"
1038 A rewrite context is a set of rules which are applied in sequence.
1039 The basic idea is to have an application initialize a rewrite
1040 engine (think of Apache's mod_rewrite ...) with a set of rewrite
1041 contexts; when string rewriting is required, one invokes the
1042 appropriate rewrite context with the input string and obtains the
1043 newly rewritten one if no errors occur.
1044 .LP
1045 Each basic server operation is associated to a rewrite context;
1046 they are divided in two main groups: client \-> server and
1047 server \-> client rewriting.
1048 .LP
1049 client \-> server:
1050 .LP
1051 .RS
1052 .nf
1053 (default)            if defined and no specific context 
1054                      is available
1055 bindDN               bind
1056 searchBase           search
1057 searchFilter         search
1058 searchFilterAttrDN   search
1059 compareDN            compare
1060 compareAttrDN        compare AVA
1061 addDN                add
1062 addAttrDN            add AVA
1063 modifyDN             modify
1064 modifyAttrDN         modify AVA
1065 modrDN               modrdn
1066 newSuperiorDN        modrdn
1067 deleteDN             delete
1068 exopPasswdDN         password modify extended operation DN if proxy
1069 .fi
1070 .RE
1071 .LP
1072 server \-> client:
1073 .LP
1074 .RS
1075 .nf
1076 searchResult         search (only if defined; no default;
1077                      acts on DN and DN-syntax attributes 
1078                      of search results)
1079 searchAttrDN         search AVA
1080 matchedDN            all ops (only if applicable)
1081 .fi
1082 .RE
1083 .LP
1084 .SH "Basic configuration syntax"
1085 .TP
1086 .B rewriteEngine { on | off }
1087 If `on', the requested rewriting is performed; if `off', no
1088 rewriting takes place (an easy way to stop rewriting without
1089 altering too much the configuration file).
1090 .TP
1091 .B rewriteContext <context name> "[ alias <aliased context name> ]"
1092 <Context name> is the name that identifies the context, i.e. the name
1093 used by the application to refer to the set of rules it contains.
1094 It is used also to reference sub contexts in string rewriting.
1095 A context may alias another one.
1096 In this case the alias context contains no rule, and any reference to
1097 it will result in accessing the aliased one.
1098 .TP
1099 .B rewriteRule "<regex match pattern>" "<substitution pattern>" "[ <flags> ]"
1100 Determines how a string can be rewritten if a pattern is matched.
1101 Examples are reported below.
1102 .SH "Additional configuration syntax:"
1103 .TP
1104 .B rewriteMap "<map type>" "<map name>" "[ <map attrs> ]"
1105 Allows to define a map that transforms substring rewriting into
1106 something else.
1107 The map is referenced inside the substitution pattern of a rule.
1108 .TP
1109 .B rewriteParam <param name> <param value>
1110 Sets a value with global scope, that can be dereferenced by the
1111 command `%{$paramName}'.
1112 .TP
1113 .B rewriteMaxPasses <number of passes> [<number of passes per rule>]
1114 Sets the maximum number of total rewriting passes that can be
1115 performed in a single rewrite operation (to avoid loops).
1116 A safe default is set to 100; note that reaching this limit is still
1117 treated as a success; recursive invocation of rules is simply 
1118 interrupted.
1119 The count applies to the rewriting operation as a whole, not 
1120 to any single rule; an optional per-rule limit can be set.
1121 This limit is overridden by setting specific per-rule limits
1122 with the `M{n}' flag.
1123 .SH "Configuration examples:"
1124 .nf
1125 # set to `off' to disable rewriting
1126 rewriteEngine on
1127
1128 # the rules the "suffixmassage" directive implies
1129 rewriteEngine on
1130 # all dataflow from client to server referring to DNs
1131 rewriteContext default
1132 rewriteRule "(.*)<virtualnamingcontext>$" "%1<realnamingcontext>" ":"
1133 # empty filter rule
1134 rewriteContext searchFilter
1135 # all dataflow from server to client
1136 rewriteContext searchResult
1137 rewriteRule "(.*)<realnamingcontext>$" "%1<virtualnamingcontext>" ":"
1138 rewriteContext searchAttrDN alias searchResult
1139 rewriteContext matchedDN alias searchResult
1140
1141 # Everything defined here goes into the `default' context.
1142 # This rule changes the naming context of anything sent
1143 # to `dc=home,dc=net' to `dc=OpenLDAP, dc=org'
1144
1145 rewriteRule "(.*)dc=home,[ ]?dc=net"
1146             "%1dc=OpenLDAP, dc=org"  ":"
1147
1148 # since a pretty/normalized DN does not include spaces
1149 # after rdn separators, e.g. `,', this rule suffices:
1150
1151 rewriteRule "(.*)dc=home,dc=net"
1152             "%1dc=OpenLDAP,dc=org"  ":"
1153
1154 # Start a new context (ends input of the previous one).
1155 # This rule adds blanks between DN parts if not present.
1156 rewriteContext  addBlanks
1157 rewriteRule     "(.*),([^ ].*)" "%1, %2"
1158
1159 # This one eats blanks
1160 rewriteContext  eatBlanks
1161 rewriteRule     "(.*),[ ](.*)" "%1,%2"
1162
1163 # Here control goes back to the default rewrite
1164 # context; rules are appended to the existing ones.
1165 # anything that gets here is piped into rule `addBlanks'
1166 rewriteContext  default
1167 rewriteRule     ".*" "%{>addBlanks(%0)}" ":"
1168
1169 .\" # Anything with `uid=username' is looked up in
1170 .\" # /etc/passwd for gecos (I know it's nearly useless,
1171 .\" # but it is there just as a guideline to implementing
1172 .\" # custom maps).
1173 .\" # Note the `I' flag that leaves `uid=username' in place 
1174 .\" # if `username' does not have a valid account, and the
1175 .\" # `:' that forces the rule to be processed exactly once.
1176 .\" rewriteContext  uid2Gecos
1177 .\" rewriteRule     "(.*)uid=([a-z0-9]+),(.+)"
1178 .\"                 "%1cn=%2{xpasswd},%3"      "I:"
1179 .\" 
1180 .\" # Finally, in a bind, if one uses a `uid=username' DN,
1181 .\" # it is rewritten in `cn=name surname' if possible.
1182 .\" rewriteContext  bindDN
1183 .\" rewriteRule     ".*" "%{>addBlanks(%{>uid2Gecos(%0)})}" ":"
1184 .\" 
1185 # Rewrite the search base according to `default' rules.
1186 rewriteContext  searchBase alias default
1187
1188 # Search results with OpenLDAP DN are rewritten back with
1189 # `dc=home,dc=net' naming context, with spaces eaten.
1190 rewriteContext  searchResult
1191 rewriteRule     "(.*[^ ]?)[ ]?dc=OpenLDAP,[ ]?dc=org"
1192                 "%{>eatBlanks(%1)}dc=home,dc=net"    ":"
1193
1194 # Bind with email instead of full DN: we first need
1195 # an ldap map that turns attributes into a DN (the
1196 # argument used when invoking the map is appended to 
1197 # the URI and acts as the filter portion)
1198 rewriteMap ldap attr2dn "ldap://host/dc=my,dc=org?dn?sub"
1199
1200 # Then we need to detect DN made up of a single email,
1201 # e.g. `mail=someone@example.com'; note that the rule
1202 # in case of match stops rewriting; in case of error,
1203 # it is ignored.  In case we are mapping virtual
1204 # to real naming contexts, we also need to rewrite
1205 # regular DNs, because the definition of a bindDn
1206 # rewrite context overrides the default definition.
1207 rewriteContext bindDN
1208 rewriteRule "^mail=[^,]+@[^,]+$" "%{attr2dn(%0)}" ":@I"
1209
1210 # This is a rather sophisticated example. It massages a
1211 # search filter in case who performs the search has
1212 # administrative privileges.  First we need to keep
1213 # track of the bind DN of the incoming request, which is
1214 # stored in a variable called `binddn' with session scope,
1215 # and left in place to allow regular binding:
1216 rewriteContext  bindDN
1217 rewriteRule     ".+" "%{&&binddn(%0)}%0" ":"
1218
1219 # A search filter containing `uid=' is rewritten only
1220 # if an appropriate DN is bound.
1221 # To do this, in the first rule the bound DN is
1222 # dereferenced, while the filter is decomposed in a
1223 # prefix, in the value of the `uid=<arg>' AVA, and 
1224 # in a suffix. A tag `<>' is appended to the DN. 
1225 # If the DN refers to an entry in the `ou=admin' subtree, 
1226 # the filter is rewritten OR-ing the `uid=<arg>' with
1227 # `cn=<arg>'; otherwise it is left as is. This could be
1228 # useful, for instance, to allow apache's auth_ldap-1.4
1229 # module to authenticate users with both `uid' and
1230 # `cn', but only if the request comes from a possible
1231 # `cn=Web auth,ou=admin,dc=home,dc=net' user.
1232 rewriteContext searchFilter
1233 rewriteRule "(.*\e\e()uid=([a-z0-9_]+)(\e\e).*)"
1234   "%{**binddn}<>%{&prefix(%1)}%{&arg(%2)}%{&suffix(%3)}"
1235   ":I"
1236 rewriteRule "[^,]+,ou=admin,dc=home,dc=net"
1237   "%{*prefix}|(uid=%{*arg})(cn=%{*arg})%{*suffix}" ":@I"
1238 rewriteRule ".*<>" "%{*prefix}uid=%{*arg}%{*suffix}" ":"
1239
1240 # This example shows how to strip unwanted DN-valued
1241 # attribute values from a search result; the first rule
1242 # matches DN values below "ou=People,dc=example,dc=com";
1243 # in case of match the rewriting exits successfully.
1244 # The second rule matches everything else and causes
1245 # the value to be rejected.
1246 rewriteContext searchResult
1247 rewriteRule ".*,ou=People,dc=example,dc=com" "%0" ":@"
1248 rewriteRule ".*" "" "#"
1249 .fi
1250 .SH "LDAP Proxy resolution (a possible evolution of slapd\-ldap(5)):"
1251 In case the rewritten DN is an LDAP URI, the operation is initiated
1252 towards the host[:port] indicated in the uri, if it does not refer
1253 to the local server.
1254 E.g.:
1255 .LP
1256 .nf
1257   rewriteRule '^cn=root,.*' '%0'                     'G{3}'
1258   rewriteRule '^cn=[a-l].*' 'ldap://ldap1.my.org/%0' ':@'
1259   rewriteRule '^cn=[m-z].*' 'ldap://ldap2.my.org/%0' ':@'
1260   rewriteRule '.*'          'ldap://ldap3.my.org/%0' ':@'
1261 .fi
1262 .LP
1263 (Rule 1 is simply there to illustrate the `G{n}' action; it could have
1264 been written:
1265 .LP
1266 .nf
1267   rewriteRule '^cn=root,.*' 'ldap://ldap3.my.org/%0' ':@'
1268 .fi
1269 .LP
1270 with the advantage of saving one rewrite pass ...)
1271
1272 .SH ACCESS CONTROL
1273 The
1274 .B meta
1275 backend does not honor all ACL semantics as described in
1276 .BR slapd.access (5).
1277 In general, access checking is delegated to the remote server(s).
1278 Only
1279 .B read (=r)
1280 access to the
1281 .B entry
1282 pseudo-attribute and to the other attribute values of the entries
1283 returned by the
1284 .B search
1285 operation is honored, which is performed by the frontend.
1286
1287 .SH PROXY CACHE OVERLAY
1288 The proxy cache overlay 
1289 allows caching of LDAP search requests (queries) in a local database.
1290 See 
1291 .BR slapo\-pcache (5)
1292 for details.
1293
1294 .SH DEPRECATED STATEMENTS
1295 The following statements have been deprecated and should no longer be used.
1296
1297 .TP
1298 .B pseudorootdn "<substitute DN in case of rootdn bind>"
1299 Use
1300 .B idassert\-bind
1301 instead.
1302
1303 .TP
1304 .B pseudorootpw "<substitute password in case of rootdn bind>"
1305 Use
1306 .B idassert\-bind
1307 instead.
1308
1309
1310
1311 .SH FILES
1312 .TP
1313 ETCDIR/slapd.conf
1314 default slapd configuration file
1315 .SH SEE ALSO
1316 .BR slapd.conf (5),
1317 .BR slapd\-ldap (5),
1318 .BR slapo\-pcache (5),
1319 .BR slapd (8),
1320 .BR regex (7),
1321 .BR re_format (7).
1322 .SH AUTHOR
1323 Pierangelo Masarati, based on back-ldap by Howard Chu