]> git.sur5r.net Git - openldap/blob - doc/man/man5/slapd.conf.5
Add dnnolocking warning
[openldap] / doc / man / man5 / slapd.conf.5
1 .TH SLAPD.CONF 5 "28 May 2001" "OpenLDAP LDVERSION"
2 .\" Copyright 1998-2001 The OpenLDAP Foundation All Rights Reserved.
3 .\" Copying restrictions apply.  See COPYRIGHT/LICENSE.
4 .\" $OpenLDAP$
5 .SH NAME
6 slapd.conf \- configuration file for slapd, the stand-alone LDAP daemon
7 .SH SYNOPSIS
8 ETCDIR/slapd.conf
9 .SH DESCRIPTION
10 The file
11 .B ETCDIR/slapd.conf
12 contains configuration information for the
13 .BR slapd (8)
14 daemon.  This configuration file is also used by the
15 .BR slurpd (8)
16 replication daemon and by the SLAPD tools
17 .BR slapadd (8),
18 .BR slapcat (8),
19 and
20 .BR slapindex (8).
21 .LP
22 The
23 .B slapd.conf
24 file consists of a series of global configuration options that apply to
25 .B slapd
26 as a whole (including all backends), followed by zero or more database
27 backend definitions that contain information specific to a backend
28 instance.
29 .LP
30 The general format of
31 .B slapd.conf
32 is as follows:
33 .LP
34 .nf
35     # comment - these options apply to every database
36     <global configuration options>
37     # first database definition & configuration options
38     database    <backend 1 type>
39     <configuration options specific to backend 1>
40     # subsequent database definitions & configuration options
41     ...
42 .fi
43 .LP
44 As many backend-specific sections as desired may be included.  Global
45 options can be overridden in a backend (for options that appear more
46 than once, the last appearance in the
47 .B slapd.conf
48 file is used).  Blank lines and comment lines beginning with a `#'
49 character are ignored. If a line begins with white space, it is
50 considered a continuation of the previous line.
51 .LP
52 Arguments on configuration lines are separated by white space. If an
53 argument contains white space, the argument should be enclosed in
54 double quotes.  If an argument contains a double quote (`"') or a
55 backslash character (`\\'), the character should be preceded by a
56 backslash character.
57 .LP
58 The specific configuration options available are discussed below in the
59 Global Configuration Options, General Backend Options, General Database
60 Options, LDBM Database-Specific Options,
61 Shell Database-Specific Options, and Password
62 Database-Specific Options sections.  Refer to the "OpenLDAP
63 Administrator's Guide" for more details on the slapd configuration
64 file.
65 .SH GLOBAL CONFIGURATION OPTIONS
66 Options described in this section apply to all backends, unless specifically 
67 overridden in a backend definition. Arguments that should be replaced by 
68 actual text are shown in brackets <>.
69 .TP
70 .B access to <what> [ by <who> <access> <control> ]+
71 Grant access (specified by <access>) to a set of entries and/or
72 attributes (specified by <what>) by one or more requestors (specified
73 by <who>).
74 See the "OpenLDAP's Administrator's Guide" for details.
75 .TP
76 .B allow <features>
77 Specify a set of features (separated by white space) to
78 allow (default none).
79 .B tls_2_anon
80 allows Start TLS to force session to anonymous status (see also
81 .B disallow
82 .BR tls_authc ).
83 .TP
84 .B argsfile <filename>
85 The ( absolute ) name of a file that will hold the 
86 .B slapd
87 server's command line options
88 if started without the debugging command line option.
89 .HP
90 .hy 0
91 .B attributetype (\ <oid> [NAME\ <name>] [OBSOLETE]\
92  [DESC\ <description>]\
93  [SUP\ <oid>] [EQUALITY\ <oid>] [ORDERING\ <oid>]\
94  [SUBSTR\ <oid>] [SYNTAX\ <oidlen>] [SINGLE\-VALUE] [COLLECTIVE]\
95  [NO\-USER\-MODIFICATION] [USAGE\ <attributeUsage>]\ )
96 .RS
97 Specify an attribute type using the LDAPv3 syntax defined in RFC 2252.
98 The slapd parser extends the RFC 2252 definition by allowing string
99 forms as well as numeric OIDs to be used for the attribute OID and
100 attribute syntax OID.
101 (See the
102 .B objectidentifier
103 description.) Currently the syntax name parser is case-sensitive.
104 The known syntax names are:
105 .RS
106 .RS
107 .PD 0
108 AttributeTypeDescription Audio Binary BitString Certificate CertificateList
109 CertificatePair DN DeliveryMethod DirectoryString DITContentRuleDescription
110 DITStructureRuleDescription EnhancedGuide FacsimileTelephoneNumber
111 GeneralizedTime Guide IA5String Integer MatchingRuleDescription
112 MatchingRuleUseDescription MailPreference NameAndOptionalUUID
113 NameFormDescription NumericString ObjectClassDescription OID
114 OtherMailbox OctetString PostalAddress ProtocolInformation
115 PresentationAddress PrintableString SupportedAlgorithm TelephoneNumber
116 TeletexTerminalIdentifier TelexNumber UTCTime LDAPSyntaxDescription
117 SubstringAssertion NISnetgrouptriple Bootparameter
118 .PD
119 .RE
120 .RE
121 .RE
122 .TP
123 .B concurrency <integer>
124 Specify a desired level of concurrency.  Provided to the underlying
125 thread system as a hint.  The default is not to provide any hint.
126 .TP
127 .B defaultsearchbase <dn>
128 Specify a default search base to use when client submits a
129 non-base search request with an empty base DN.
130 .TP
131 .B disallow <features>
132 Specify a set of features (separated by white space) to
133 disallow (default none).
134 .B bind_v2
135 disables acceptance of LDAPv2 bind requests.
136 .B bind_anon
137 disables acceptance of anonymous bind requests.
138 .B bind_anon_cred
139 disables anonymous bind creditials are not empty (e.g.
140 when DN is empty).
141 .B bind_anon_dn
142 disables anonymous bind when DN is not empty.
143 .B bind_simple
144 disables simple (bind) authentication.
145 .B bind_krbv4
146 disables Kerberos V4 (bind) authentication.
147 .B tls_authc
148 disables StartTLS if authenticated (see also
149 .B allow
150 .BR tls_2_anon ).
151 .TP
152 .B idletimeout <integer>
153 Specify the number of seconds to wait before forcibly closing
154 an idle client connections.  A idletimeout of 0 disables this
155 feature.  The default is 0.
156 .TP
157 .B include <filename>
158 Read additional configuration information from the given file before
159 continuing with the next line of the current file.
160 .TP
161 .B limits [dn[.{exact|regex}]=]<pattern> <limit> [...]
162 Specify time and size limits based on the distinguished name that
163 initiated an operation.
164 The argument
165 .BR pattern
166 contains the DN the limits are applied to.
167 It is a distinguished name in case of
168 .BR exact
169 match, or an Extended Regex pattern in case of
170 .BR regex
171 match (the default).
172 The currently supported limits are "size" and "time".
173
174 The syntax for time limits is 
175 .BR time[.{soft|hard}]=<integer> ,
176 where 
177 .BR integer
178 is the number of seconds slapd will spend answering a search request.
179 If no time limit is explicitly requested by the client, the 
180 .BR soft
181 limit is used; if the requested time limit exceedes the
182 .BR hard
183 limit, an "Unwilling to perform" is returned.
184 If the
185 .BR hard
186 limit is set to 0 or to the keyword "soft", the soft limit is used 
187 in either case; if it is set to -1 or to the keyword "none", 
188 no hard limit is enforced.
189 Explicit requests for time limits smaller or equal to the
190 .BR hard 
191 limit are honored.
192 If no flag is set, the value is assigned to the 
193 .BR soft 
194 limit, and the
195 .BR hard
196 limit is set to zero, to preserve the original behavior.
197
198 The syntax for size limits is
199 .BR size[.{soft|hard|unchecked}]=<integer> ,
200 where
201 .BR integer
202 is the maximum number of entries slapd will return answering a search 
203 request.
204 If no size limit is explicitly requested by the client, the
205 .BR soft
206 limit is used; if the requested size limit exceedes the
207 .BR hard
208 limit, an "Unwilling to perform" is returned.
209 If the 
210 .BR hard
211 limit is set to 0 or to the keyword "soft", the soft limit is used 
212 in either case; if it is set to -1 or to the keyword "none", 
213 no hard limit is enforced.
214 Explicit requests for size limits smaller or equal to the
215 .BR hard
216 limit are honored.
217 The
218 .BR unchecked
219 flag sets a limit on the number of candidates a search request is allowed
220 to examine.
221 If the selected candidates exceed the 
222 .BR unchecked
223 limit, the search will abort with "Unwilling to perform".
224 If it is set to -1 or to the keyword "none", no limit is applied (the default).
225 If no flag is set, the value is assigned to the
226 .BR soft 
227 limit, and the
228 .BR hard
229 limit is set to zero, to preserve the original behavior.
230
231 In case of no match, the global limits are used.
232 The default values are the same of
233 .BR sizelimit
234 and
235 .BR timelimit ;
236 no limit is set on 
237 .BR unchecked .
238 This feature is currently exploited by the ldbm backend only.
239 .TP
240 .B loglevel <integer>
241 Specify the level at which debugging statements and operation 
242 statistics should be syslogged (currently logged to the
243 .BR syslogd (8) 
244 LOG_LOCAL4 facility).  Log levels are additive, and available levels
245 are:
246 .RS
247 .RS
248 .PD 0
249 .TP
250 .B 1
251 trace function calls
252 .TP
253 .B 2
254 debug packet handling
255 .TP
256 .B 4
257 heavy trace debugging
258 .TP
259 .B 8
260 connection management
261 .TP
262 .B 16
263 print out packets sent and received
264 .TP
265 .B 32
266 search filter processing
267 .TP
268 .B 64
269 configuration file processing
270 .TP
271 .B 128
272 access control list processing
273 .TP
274 .B 256
275 stats log connections/operations/results
276 .TP
277 .B 512
278 stats log entries sent
279 .TP
280 .B 1024
281 print communication with shell backends
282 .TP
283 .B 2048
284 entry parsing
285 .PD
286 .RE
287 .RE
288 .HP
289 .B objectclass ( <oid> [NAME <name>] [DESC <description] [OBSOLETE]\
290  [SUP <oids>] [{ ABSTRACT | STRUCTURAL | AUXILIARY }] [MUST <oids>]\
291  [MAY <oids>] )
292 .RS
293 Specify an objectclass using the LDAPv3 syntax defined in RFC 2252.
294 The slapd parser extends the RFC 2252 definition by allowing string
295 forms as well as numeric OIDs to be used for the object class OID.
296 (See the
297 .B
298 objectidentifier
299 description.)  Object classes are "STRUCTURAL" by default.
300 .RE
301 .TP
302 .B objectidentifier <name> { <oid> | <name>[:<suffix>] }
303 Define a string name that equates to the given OID. The string can be used
304 in place of the numeric OID in objectclass and attribute definitions. The
305 name can also be used with a suffix of the form ":xx" in which case the
306 value "oid.xx" will be used.
307 .TP
308 .B password-hash <hash>
309 The <hash> to use for userPassword generation.  One of
310 .BR {SSHA} ,
311 .BR {SHA} ,
312 .BR {SMD5} ,
313 .BR {MD5} ,
314 .BR {CRYPT} ,
315 .BR {KERBEROS} ,
316 .BR {SASL} ,
317 and
318 .BR {UNIX} .
319 The default is
320 .BR {SSHA} .
321 .TP
322 .B password-crypt-salt-format <format>
323 Specify the format of the salt passed to
324 .BR crypt (3)
325 when generating {CRYPT} passwords.  
326 This string needs to be in
327 .BR sprintf (3)
328 format and may include one (and only one) %s conversion.
329 This conversion will be substituted with a string random
330 characters from [A\-Za\-z0\-9./].  For example, "%.2s"
331 provides a two character salt and "$1$%.8s" tells some
332 versions of crypt(3) to use an MD5 algorithm and provides
333 8 random characters of salt.  The default is "%s", which
334 provides 31 characters of salt.
335 .TP
336 .B pidfile <filename>
337 The ( absolute ) name of a file that will hold the 
338 .B slapd
339 server's process ID ( see
340 .BR getpid (2)
341 ) if started without the debugging command line option.
342 .TP
343 .B referral <url>
344 Specify the referral to pass back when
345 .BR slapd (8)
346 cannot find a local database to handle a request.
347 If specified multiple times, each url is provided.
348 .TP
349 .B require <conditions>
350 Specify a set of conditions (separated by white space) to
351 require (default none).
352 The directive may be specified globally and/or per-database.
353 .B bind
354 requires bind operation prior to directory operations.
355 .B LDAPv3
356 requires session to be using LDAP version 3.
357 .B authc
358 requires authentication prior to directory operations.
359 .B SASL
360 requires SASL authentication prior to directory operations.
361 .B strong
362 requires strong authentication prior to directory operations.
363 Currently
364 .B SASL
365 and
366 .B strong
367 conditions are currently same.
368 .B none
369 may be used to require no conditions (useful for clearly globally
370 set conditions within a particular database).
371 .TP
372 .B sasl-host <fqdn>
373 Used to specify the fully qualified domain name used for SASL processing.
374 .TP
375 .B sasl-realm <realm>
376 Specify SASL realm.  Default is empty.
377 .TP
378 .B sasl-regexp <match> <replace>
379 Used by the SASL authorization mechanism to convert a SASL authenticated 
380 username to an LDAP DN. When an authorization request is received, the SASL 
381 .B USERNAME, REALM, 
382 and
383 .B MECHANISM
384 are taken, when available, and combined into a SASL name of the 
385 form
386 .RS
387 .RS
388 .TP
389 .B uid=<UID>[,cn=<REALM>][,cn=<MECH>],cn=AUTHZ
390
391 .RE
392 This SASL name is then compared against the
393 .B match
394 regular expression, and if the match is successful, the SASL name is
395 replaced with the
396 .B replace
397 string. If there are wildcard strings in the 
398 .B match
399 regular expression that are enclosed in parenthesis, e.g. 
400 .RS
401 .RS
402 .TP
403 .B uid=(.*)\\\\+realm=.*
404
405 .RE
406 .RE
407 then the portion of the SASL name that matched the wildcard will be stored
408 in the numbered placeholder variable $1. If there are other wildcard strings
409 in parenthesis, the matching strings will be in $2, $3, etc. up to $9. The 
410 placeholders can then be used in the 
411 .B replace
412 string, e.g. 
413 .RS
414 .RS
415 .TP
416 .B cn=$1,ou=Accounts,dc=$2,dc=$4. 
417
418 .RE
419 .RE
420 The replaced SASL name can be either a DN or an LDAP URI. If the latter, the slapd
421 server will use the URI to search its own database, and if the search returns 
422 exactly one entry, the SASL name is replaced by the DN of that entry.
423 Multiple 
424 .B sasl-regexp 
425 options can be given in the configuration file to allow for multiple matching 
426 and replacement patterns. The matching patterns are checked in the order they 
427 appear in the file, stopping at the first successful match.
428 .LP
429 .B Caution:
430 Because the plus sign + is a character recognized by the regular expression engine,
431 and it will appear in SASL names that include a REALM, be careful to escape the
432 plus sign with a backslash \\+ to remove the character's special meaning.
433 .RE
434 .TP
435 .B sasl-secprops <properties>
436 Used to specify Cyrus SASL security properties.
437 The
438 .B none
439 flag (without any other properities) causes the flag properites
440 default, "noanonymous,noplain", to be cleared.
441 The
442 .B noplain
443 flag disables mechanisms susceptible to simple passive attacks.
444 The
445 .B noactive
446 flag disables mechanisms susceptible to active attacks.
447 The
448 .B nodict
449 flag disables mechanisms susceptible to passive dictionary attacks.
450 The
451 .B noanonyous
452 flag disables mechanisms which support anonymous login.
453 The
454 .B forwardsec
455 flag require forward secrecy between sessions.
456 The
457 .B passcred
458 require mechanisms which pass client credentials (and allow
459 mechanisms which can pass credentials to do so).
460 The
461 .B minssf=<factor> 
462 property specifies the minimum acceptable
463 .I security strength factor
464 as an integer approximate to effective key length used for
465 encryption.  0 (zero) implies no protection, 1 implies integrity
466 protection only, 56 allows DES or other weak ciphers, 112
467 allows triple DES and other strong ciphers, 128 allows RC4,
468 Blowfish and other modern strong ciphers.  The default is 0.
469 The
470 .B maxssf=<factor> 
471 property specifies the maximum acceptable
472 .I security strength factor
473 as an integer (see minssf description).  The default is INT_MAX.
474 The
475 .B maxbufsize=<size> 
476 property specifies the maximum security layer receive buffer
477 size allowed.  0 disables security layers.  The default is 65536.
478 .TP
479 .B schemacheck { on | off }
480 Turn schema checking on or off. The default is on.
481 .TP
482 .B security <factors>
483 Specify a set of factors (separated by white space) to require.
484 An integer value is associated with each factor and is roughly
485 equivalent of the encryption key length to require.  A value
486 of 112 is equivalent to 3DES, 128 to Blowfish, etc..
487 The directive may be specified globally and/or per-database.
488 .B ssf=<n>
489 specifies the overall security strength factor.
490 .B transport=<n>
491 specifies the transport security strength factor.
492 .B tls=<n>
493 specifies the TLS security strength factor.
494 .B sasl=<n>
495 specifies the SASL security strength factor.
496 .B update_ssf=<n>
497 specifies the overall security strength factor to require for
498 directory updates.
499 .B update_transport=<n>
500 specifies the transport security strength factor to require for
501 directory updates.
502 .B update_tls=<n>
503 specifies the TLS security strength factor to require for
504 directory updates.
505 .B update_sasl=<n>
506 specifies the SASL security strength factor to require for
507 directory updates.
508 Note that the
509 .B transport
510 factor is measure of security provided by the underlying transport,
511 e.g. ldapi:// (and eventually IPSEC).  It is not normally used.
512 .TP
513 .B sizelimit <integer> 
514 .TP
515 .B sizelimit size[.{soft|hard|unchecked}]=<integer> [...]
516 Specify the maximum number of entries to return from a search operation.
517 The default size limit is 500.
518 The second format allows a fine grain setting of the size limits.
519 Extra args can be added on the same line.
520 See
521 .BR limits
522 for an explanation of the different flags.
523 .TP
524 .B sockbuf_max_incoming <integer>
525 Specify the maximum incoming LDAP PDU size for anonymous sessions.
526 The default is 262143.
527 .TP
528 .B sockbuf_max_incoming_auth <integer>
529 Specify the maximum incoming LDAP PDU size for authenticated sessions.
530 The default is 4194303.
531 .TP
532 .B srvtab <filename>
533 Specify the srvtab file in which the kerberos keys necessary for
534 authenticating clients using kerberos can be found. This option is only
535 meaningful if you are using Kerberos authentication.
536 .TP
537 .B threads <integer>
538 Specify the maximum size of the primary thread pool.
539 The default is 32.
540 .TP
541 .B timelimit <integer>
542 .TP
543 .B timelimit time[.{soft|hard}]=<integer> [...]
544 Specify the maximum number of seconds (in real time)
545 .B slapd
546 will spend answering a search request.  The default time limit is 3600.
547 The second format allows a fine grain setting of the time limits.
548 Extra args can be added on the same line.
549 See
550 .BR limits
551 for an explanation of the different flags.
552 .SH TLS OPTIONS
553 If
554 .B slapd
555 is build with support for Transport Layer Security, there are more options
556 you can specify.
557 .TP
558 .B TLSCipherSuite <cipher-suite-spec>
559 Permits configuring what ciphers will be accepted and the preference order.
560 <cipher-suite-spec> should be a cipher specification for OpenSSL.  Example:
561
562 TLSCipherSuite HIGH:MEDIUM:+SSLv2
563
564 To check what ciphers a given spec selects, use:
565
566 openssl ciphers -v <cipher-suite-spec>
567 .TP
568 .B TLSCertificateFile <filename>
569 Specifies the file that contains the
570 .B slapd
571 server certificate.
572 .TP
573 .B TLSCertificateKeyFile <filename>
574 Specifies the file that contains the
575 .B slapd
576 server private key that matches the certificate stored in the
577 .B TLSCertificateFile
578 file.  Currently, the private key must not be protected with a password, so
579 it is of critical importance that it is protected carefully. 
580 .TP
581 .B TLSRandFile <filename>
582 Specifies the file to obtain random bits from when /dev/[u]random
583 is not available.  Generally set to the name of the EGD/PRNGD socket.
584 The environment variable RANDFILE can also be used to specify the filename.
585 .SH GENERAL BACKEND OPTIONS
586 Options in this section only apply to the configuration file section
587 for the specified backend.  They are supported by every
588 type of backend.
589 .TP
590 .B backend <databasetype>
591 Mark the beginning of a backend definition. <databasetype>
592 should be one of
593 .B ldbm,
594 .B shell,
595 or
596 .B passwd
597 depending on which backend will serve the database.
598
599 .SH GENERAL DATABASE OPTIONS
600 Options in this section only apply to the configuration file section
601 for the database in which they are defined.  They are supported by every
602 type of backend.
603 .TP
604 .B database <databasetype>
605 Mark the beginning of a new database instance definition. <databasetype>
606 should be one of
607 .B ldbm,
608 .B shell,
609 or
610 .B passwd
611 depending on which backend will serve the database.
612 .TP
613 .B lastmod on | off
614 Controls whether
615 .B slapd
616 will automatically maintain the 
617 modifiersName, modifyTimestamp, creatorsName, and 
618 createTimestamp attributes for entries.  By default, lastmod is on.
619 .TP
620 .B readonly on | off
621 This option puts the database into "read-only" mode.  Any attempts to 
622 modify the database will return an "unwilling to perform" error.  By
623 default, readonly is off.
624 .HP
625 .B replica host=<hostname>[:port] [tls=yes|critical]
626 .B [suffix=<suffix> [...]]
627 .B bindmethod=simple|sasl [binddn=<simple DN>] [credentials=<simple password>]
628 .B [saslmech=<SASL mech>] [secopts=<options>] [realm=<realm>]
629 .B [authcId=<authentication ID>] [authcId=<authentication ID>]
630 .RS
631 Specify a replication site for this database.  Refer to the "OpenLDAP 
632 Administrator's Guide" for detailed information on setting up a replicated
633 .B slapd
634 directory service. Zero or more
635 .B suffix
636 instances can be used to select the subtrees that will be replicated
637 (defaults to all the database). A
638 .B bindmethod
639 of
640 .B simple
641 requires the options
642 .B binddn 
643 and
644 .B credentials  
645 and should only be used when adequate security services 
646 (e.g TLS or IPSEC) are in place. A
647 .B bindmethod 
648 of
649 .B sasl 
650 requires the option
651 .B saslmech. 
652 If the 
653 .B mechanism
654 will use Kerberos, a kerberos instance should be given in 
655 .B authcId.
656 .RE
657 .TP
658 .B replogfile <filename>
659 Specify the name of the replication log file to log changes to.  
660 The replication log is typically written by
661 .BR slapd (8)
662 and read by
663 .BR slurpd (8).
664 See
665 .BR slapd.replog (5)
666 for more information.  The specified file should be located
667 in a directory with limited read/write/execute access as the replication
668 logs may contain sensitive information.
669 .TP
670 .B rootdn <dn>
671 Specify the distinguished name that is not subject to access control 
672 or administrative limit restrictions for operations on this database.
673 This DN may or may not be associated with an entry.  An empty root
674 DN (the default) specifies no root access is to be granted.  It is
675 recommended that the rootdn only be specified when needed (such as
676 when initially populating a database).  If the rootdn is within
677 a namingContext (suffix) of the database, a simple bind password
678 may also be provided using the
679 .B rootpw
680 directive.
681 .TP
682 .B rootpw <password>
683 Specify a password (or hash of the password) for the rootdn.  If
684 the rootdn is not within the namingContext of the database, the
685 provided password is ignored.
686 This option accepts all RFC 2307 userPassword formats known to
687 the server (see 
688 .B password-hash
689 desription) as well as cleartext.
690 .BR slappasswd (8) 
691 may be used to generate a hash of a password.  Cleartext
692 and \fB{CRYPT}\fP passwords are not recommended.  If empty
693 (the default), authentication of the root DN is by other means
694 (e.g. SASL).  Use of SASL is encouraged.
695 .TP
696 .B suffix <dn suffix>
697 Specify the DN suffix of queries that will be passed to this 
698 backend database.  Multiple suffix lines can be given and at least one is 
699 required for each database definition.
700 .TP
701 .B updatedn <dn>
702 This option is only applicable in a slave
703 .B slapd.
704 It specifies the DN allowed to make changes to the replica (typically,
705 this is the DN
706 .BR slurpd (8)
707 binds as when making changes to the replica).
708 .TP
709 .B updateref <url>
710 Specify the referral to pass back when
711 .BR slapd (8)
712 is asked to modify a replicated local database.
713 If specified multiple times, each url is provided.
714 .\" .SH LDBM BACKEND-SPECIFIC OPTIONS
715 .\" Options in this category only apply to the LDBM backend. That is,
716 .\" they must follow "backend ldbm" line and come before any subsequent
717 .\" "backend" or "database" lines.  The LDBM backend is a high-performance
718 .\" database that makes extensive use of indexing and caching to speed
719 .\" data access. 
720 .SH LDBM DATABASE-SPECIFIC OPTIONS
721 Options in this category only apply to the LDBM databases. That is,
722 they must follow "database ldbm" line and come before any subsequent
723 "backend" or "database" lines.
724 .TP
725 .B cachesize <integer>
726 Specify the size in entries of the in-memory cache maintained 
727 by the LDBM backend database instance.  The default is 1000 entries.
728 .TP
729 .B dbcachesize <integer>
730 Specify the size in bytes of the in-memory cache associated 
731 with each open index file. If not supported by the underlying database 
732 method, this option is ignored without comment.  The default is 100000 bytes.
733 .TP
734 .B dbnolocking
735 Specify that no database locking should be performed.  
736 Enabling this option may improve performance at the expense of data security.
737 Do NOT run any slap tools while slapd is running.
738 .TP
739 .B dbnosync
740 Specify that on-disk database contents should not be immediately
741 synchronized with in memory changes.  Enabling this option may improve
742 performance at the expense of data security.
743 .TP
744 .B dbsync <frequency> <maxdelays> <delayinterval>
745 Flush dirty database buffers to disk every
746 .B <seconds>
747 seconds.  Implies
748 .B dbnosync
749 (ie. indvidual updates are no longer written to disk).  It attempts to avoid
750 syncs during periods of peak activity by waiting
751 .B <delayinterval>
752 seconds if the server is busy, repeating this delay up to
753 .B <maxdelays>
754 times before proceeding.  
755 It is an attempt to provide higher write performance with some amount of data
756 security.  Note that it may still be possible to get an inconsistent 
757 database if the underlying engine fills its cache and writes out individual
758 pages and slapd crashes or is killed before the next sync.
759 .B <maxdelays>
760 and
761 .B <delayinterval>
762 are optional and default to
763 .B 12
764 and
765 .B 5
766 respectively, giving a total elapsed delay of 60 seconds before a sync
767 will occur.
768 .B <maxdelays>
769 may be zero, and
770 .B <delayinterval>
771 must be 1 or greater.
772 .TP
773 .B directory <directory>
774 Specify the directory where the LDBM files containing this database and
775 associated indexes live.  A separate directory must be specified for
776 each database.  The default is
777 .BR LOCALSTATEDIR/openldap-ldbm .
778 .TP
779 .B
780 index {<attrlist>|default} [pres,eq,approx,sub,<special>]
781 Specify the indexes to maintain for the given attribute. If only 
782 an <attr> is given, the indices specified for \fBdefault\fR
783 are maintained.  A number of special index parameters may be
784 specified.
785 The index type
786 .B sub
787 can be decomposed into
788 .BR subinitial ,
789 .BR subany ,\ and
790 .B subfinal
791 indices.
792 The special type
793 .B lang
794 may be specified to allow use of this index by language subtypes.
795 The special type
796 .B autolang
797 may be specified to automatically maintain separate indices for each
798 language subtypes.
799 The special type
800 .B subtypes
801 may be specified to allow use of this index by named subtypes.
802 The special type
803 .B autosubtypes
804 may be specified to automatically maintain separate indices for each
805 other subtypes.
806 .TP
807 .B mode <integer>
808 Specify the file protection mode that newly created database 
809 index files should have.  The default is 0600.
810 .SH SHELL DATABASE-SPECIFIC OPTIONS
811 Options in this category only apply to the SHELL backend database. That is,
812 they must follow a "database shell" line and come before any subsequent
813 "backend" or "database" lines.  The Shell backend executes external programs to
814 implement operations, and is designed to make it easy to tie an existing
815 database to the
816 .B slapd
817 front-end.
818 .TP
819 .B bind <pathname>
820 .TP
821 .B unbind <pathname>
822 .TP
823 .B search <pathname>
824 .TP
825 .B compare <pathname>
826 .TP
827 .B modify <pathname>
828 .TP
829 .B modrdn <pathname>
830 .TP
831 .B add <pathname>
832 .TP
833 .B delete <pathname>
834 .TP
835 .B abandon <pathname>
836 These options specify the pathname of the command to execute in response 
837 to the given LDAP operation.
838 .LP
839 Note that you need only supply configuration lines for those commands you
840 want the backend to handle. Operations for which a command is not
841 supplied will be refused with an "unwilling to perform" error.
842 .SH PASSWORD DATABASE-SPECIFIC OPTIONS
843 Options in this category only apply to the PASSWD backend database.
844 That is, they must follow a "database passwd" line and come before any
845 subsequent "backend" or "database" lines.  The PASSWD database serves up the user
846 account information listed in the system
847 .BR passwd (5)
848 file.
849 .TP
850 .B file <filename>
851 Specifies an alternate passwd file to use.  The default is
852 .B /etc/passwd.
853 .SH EXAMPLE
854 "OpenLDAP Administrator's Guide" contains an annotated
855 example of a configuration file.
856 .SH FILES
857 ETCDIR/slapd.conf
858 .SH SEE ALSO
859 .BR ldap (3),
860 .BR slapd.replog (5),
861 .BR locale (5),
862 .BR passwd (5),
863 .BR slapd (8),
864 .BR slapadd (8),
865 .BR slapcat (8),
866 .BR slapindex (8),
867 .BR slappassword (8),
868 .BR slurpd (8),
869 .LP
870 "OpenLDAP Administrator's Guide" (http://www.OpenLDAP.org/doc/admin/)
871 .SH ACKNOWLEDGEMENTS
872 .B      OpenLDAP
873 is developed and maintained by The OpenLDAP Project (http://www.openldap.org/).
874 .B      OpenLDAP
875 is derived from University of Michigan LDAP 3.3 Release.