git.sur5r.net Git - openldap/blob - doc/man/man5/slapo-pcache.5

   1 .TH SLAPO-PCACHE 5 "RELEASEDATE" "OpenLDAP LDVERSION"
   2 .\" Copyright 1998-2005 The OpenLDAP Foundation, All Rights Reserved.
   3 .\" Copying restrictions apply.  See the COPYRIGHT file.
   4 .\" Copyright 2001, Pierangelo Masarati, All rights reserved. <ando@sys-net.it>
   5 .\" $OpenLDAP$
   6 .SH NAME
   7 slapo-pcache \- proxycache overlay
   8 .SH SYNOPSIS
   9 ETCDIR/slapd.conf
  10 .SH DESCRIPTION
  11 The
  12 .B pcache
  13 overlay to
  14 .BR slapd (8)
  15 allows caching of LDAP search requests (queries) in a local database.
  16 For an incoming query, the
  17 proxy cache determines its corresponding \fBtemplate\fP. If the template
  18 was specified as cacheable using the \fBproxytemplate\fP directive
  19 and the request is contained in a cached request, it is answered from
  20 the proxy cache.
  21 Otherwise, the search is performed as usual and cacheable search results
  22 are saved in the cache for use in future queries.
  23 .LP
  24
  25 A template is defined by a filter string and an index identifying a set of
  26 attributes. The \fBtemplate string\fP for a query can be obtained by
  27 removing assertion values from the RFC 2254 representation of its search
  28 filter. A query belongs to a template if its template string and set of
  29 projected attributes correspond to a cacheable template.
  30 Examples of template strings are \fB(mail=)\fP, \fB(|(sn=)(cn=))\fP,
  31 \fB(&(sn=)(givenName=))\fP.
  32
  33 .LP
  34 The config directives that are specific to the
  35 .B proxycache
  36 overlay can be prefixed by
  37 .BR proxycache\- ,
  38 to avoid conflicts with directives specific to the underlying database
  39 or to other stacked overlays.  This may be particularly useful for those
  40 directives that refer to the backend used for local storage.
  41 The following cache specific directives can be used to configure the proxy
  42 cache:
  43 .TP
  44 .B overlay pcache
  45 This directive adds the proxy cache overlay to the current backend. The
  46 proxy cache overlay may be used with any backend but is intended for use
  47 with the
  48 .BR ldap ,
  49 .BR meta ,
  50 and
  51 .BR sql
  52 backends.
  53 .TP
  54 .B proxycache <database> <max_entries> <numattrsets> <entry_limit> <cc_period>
  55 The directive enables proxy caching in the current backend and sets general
  56 cache parameters. A <database> backend will be used internally to maintain
  57 the cached entries. The chosen database will need to be configured as well,
  58 as shown below. Cache replacement is invoked when the cache size grows to
  59 <max_entries> entries and continues till the cache size drops below this size.
  60 <numattrsets> should be equal to the number of following \fBproxyattrset\fP
  61 directives. Queries are cached only if they correspond to a cacheable template
  62 (specified by the \fBproxytemplate\fP directive) and the number of entries
  63 returned is less than <entry_limit>. Consistency check is performed every
  64 <cc_period> duration (specified in secs). In each cycle queries with expired
  65 "time to live(\fBTTL\fP)" are removed. A sample cache configuration is:
  66 .LP
  67 .RS
  68 proxycache \fBbdb 10000 1 50 100\fP
  69 .RE
  70 .TP
  71 .B proxyattrset <index> <attrs...>
  72 Used to associate a set of attributes <attrs..> with an <index>. Each attribute
  73 set is associated with an integer from 0 to <numattrsets>-1. These indices are
  74 used by the \fBproxytemplate\fP directive to define cacheable templates.
  75
  76 .TP
  77 .B proxytemplate <template_string> <attrset_index> <ttl>
  78 Specifies a cacheable template and "time to live" (in sec) <ttl> of queries
  79 belonging to the template.
  80
  81 .TP
  82 .B response-callback { head | tail }
  83 Specifies whether the response callback should be placed at the
  84 .B tail
  85 (the default) or at the
  86 .B head
  87 (actually, wherever the stacking sequence would make it appear)
  88 of the callback list.  This affects how the overlay interacts with other
  89 overlays, since the proxycache overlay should be executed as early
  90 as possible (and thus configured as late as possible), to get
  91 a chance to return the cached results; however, if executed early
  92 at response, it would cache entries that may be later "massaged"
  93 by other databases and thus returned \fIafter\fP massaging the first
  94 time, and \fIbefore\fP massaging when cached.
  95
  96 .TP
  97 There are some constraints:
  98
  99 all values must be positive;
 100
 101 .B <entry_limit>
 102 must be less than or equal to
 103 .BR <max_entries> ;
 104
 105 .B <numattrsets>
 106 attribute sets SHOULD be defined by using the directive
 107 .BR proxyattrset ;
 108
 109 all attribute sets SHOULD be referenced by (at least) one
 110 .B proxytemplate
 111 directive;
 112
 113 .LP
 114 The following adds a template with filter string \fB((&sn=)(givenName=))\fP
 115 and attributes mail, postaladdress, telephonenumber and a TTL of 1 hour.
 116 .LP
 117 .RS
 118 .nf
 119 proxyattrset \fB0 mail postaladdress telephonenumber\fP
 120 proxytemplate \fB(&(sn=)(givenName=)) 0 3600\fP
 121 .fi
 122 .RE
 123
 124 .LP
 125 Directives for configuring the underlying database must also be given, as
 126 shown here:
 127 .LP
 128 .RS
 129 .nf
 130 directory /var/tmp/cache
 131 cachesize 100
 132 .fi
 133 .RE
 134 .LP
 135 Any valid directives for the chosen database type may be used.
 136 .SH CAVEATS
 137 Caching data is prone to inconsistencies because updates on the remote server
 138 will not be reflected in the response of the cache at least (and at most)
 139 for the duration of the
 140 .B proxytemplate
 141 .BR TTL .
 142
 143 Another potential (and subtle) inconsistency may occur when data is retrieved
 144 with different identities and specific per-identity access control
 145 is enforced by the remote server.
 146 If data was retrieved with an identity that collected only partial results
 147 because of access rules enforcement on the remote server, other users
 148 with different access privileges on the remote server will get different
 149 results from the remote server and from the cache.
 150 If those users have higher access privileges on the remote server, they will
 151 get from the cache only a subset of the results they would get directly
 152 from the remote server; but if they have lower access privileges, they will
 153 get from the cache a superset of the results they would get directly
 154 from the remote server.
 155 Either occurrence may or may not be acceptable, based on the security policy
 156 of the cache and of the remote server.
 157 It is important to note that in this case the proxy is violating the security
 158 of the remote server by disclosing to an identity data that was collected
 159 by another identity.
 160 For this reason, it is suggested that, when using
 161 .BR back-ldap ,
 162 proxy caching be used in conjunction with the
 163 .I identity assertion
 164 feature of
 165 .BR slapd-ldap (5)
 166 (see the
 167 .B idassert-bind
 168 and the
 169 .B idassert-authz
 170 statements), so that remote server interrogation occurs with a vanilla identity
 171 that has some relatively high
 172 .B search
 173 and
 174 .B read
 175 access privileges, and the "real" access control is delegated to the proxy's ACLs.
 176 Beware that since only the cached fraction of the real datum is available
 177 to the cache, it may not be possible to enforce the same access rules that
 178 are defined on the remote server.
 179 When security is a concern, cached proxy access must be carefully tailored.
 180 .SH FILES
 181
 182 .TP
 183 ETCDIR/slapd.conf
 184 default slapd configuration file
 185 .SH SEE ALSO
 186 .BR slapd.conf (5),
 187 .BR slapd\-ldap (5),
 188 .BR slapd\-meta (5),
 189 .BR slapd\-sql (5),
 190 .BR slapd (8).
 191 .SH AUTHOR
 192 Originally implemented by Apurva Kumar as an extension to back-meta;
 193 turned into an overlay by Howard Chu.