git.sur5r.net Git - openldap/blob - doc/man/man5/slapo-translucent.5

   1 .TH SLAPO-TRANSLUCENT 5 "RELEASEDATE" "OpenLDAP LDVERSION"
   2 .\" Copyright 2004-2015 The OpenLDAP Foundation All Rights Reserved.
   3 .\" Copying restrictions apply.  See COPYRIGHT/LICENSE.
   4 .\" $OpenLDAP$
   5 .SH NAME
   6 slapo\-translucent \- Translucent Proxy overlay to slapd
   7 .SH SYNOPSIS
   8 ETCDIR/slapd.conf
   9 .SH DESCRIPTION
  10 The Translucent Proxy overlay can be used with a backend database such as
  11 .BR slapd\-bdb (5)
  12 to create a "translucent proxy".  Entries retrieved from a remote LDAP
  13 server may have some or all attributes overridden, or new attributes
  14 added, by entries in the local database before being presented to the
  15 client.
  16 .LP
  17 A
  18 .BR search
  19 operation is first populated with entries from the remote LDAP server, the
  20 attributes of which are then overridden with any attributes defined in the
  21 local database. Local overrides may be populated with the
  22 .BR add ,
  23 .B modify ,
  24 and
  25 .B modrdn
  26 operations, the use of which is restricted to the root user.
  27 .LP
  28 A
  29 .BR compare
  30 operation will perform a comparison with attributes defined in the local
  31 database record (if any) before any comparison is made with data in the
  32 remote database.
  33 .SH CONFIGURATION
  34 The Translucent Proxy overlay uses a proxied database,
  35 typically a (set of) remote LDAP server(s), which is configured with the options shown in
  36 .BR slapd\-ldap (5),
  37 .BR slapd\-meta (5)
  38 or similar.
  39 These
  40 .B slapd.conf
  41 options are specific to the Translucent Proxy overlay; they must appear
  42 after the
  43 .B overlay
  44 directive that instantiates the
  45 .B translucent
  46 overlay.
  47 .TP
  48 .B translucent_strict
  49 By default, attempts to delete attributes in either the local or remote
  50 databases will be silently ignored. The
  51 .B translucent_strict
  52 directive causes these modifications to fail with a Constraint Violation.
  53 .TP
  54 .B translucent_no_glue
  55 This configuration option disables the automatic creation of "glue" records
  56 for an
  57 .B add
  58 or
  59 .B modrdn
  60 operation, such that all parents of an entry added to the local database
  61 must be created by hand. Glue records are always created for a
  62 .B modify
  63 operation.
  64 .TP
  65 .B translucent_local <attr[,attr...]>
  66 Specify a list of attributes that should be searched for in the local database
  67 when used in a search filter. By default, search filters are only handled by
  68 the remote database. With this directive, search filters will be split into a
  69 local and remote portion, and local attributes will be searched locally.
  70 .TP
  71 .B translucent_remote <attr[,attr...]>
  72 Specify a list of attributes that should be searched for in the remote database
  73 when used in a search filter. This directive complements the
  74 .B translucent_local
  75 directive. Attributes may be specified as both local and remote if desired.
  76 .LP
  77 If neither
  78 .B translucent_local
  79 nor
  80 .B translucent_remote
  81 are specified, the default behavior is to search the remote database with the
  82 complete search filter. If only
  83 .B translucent_local
  84 is specified, searches will only be run on the local database. Likewise, if only
  85 .B translucent_remote
  86 is specified, searches will only be run on the remote database. In any case, both
  87 the local and remote entries corresponding to a search result will be merged
  88 before being returned to the client.
  89
  90 .TP
  91 .B translucent_bind_local
  92 Enable looking for locally stored credentials for simple bind when binding
  93 to the remote database fails.  Disabled by default.
  94
  95 .TP
  96 .B translucent_pwmod_local
  97 Enable RFC 3062 Password Modification extended operation on locally stored
  98 credentials.  The operation only applies to entries that exist in the remote
  99 database.  Disabled by default.
 100
 101 .SH ACCESS CONTROL
 102 Access control is delegated to either the remote DSA(s) or to the local database
 103 backend for
 104 .B auth
 105 and
 106 .B write
 107 operations.
 108 It is delegated to the remote DSA(s) and to the frontend for
 109 .B read
 110 operations.
 111 Local access rules involving data returned by the remote DSA(s) should be designed
 112 with care.  In fact, entries are returned by the remote DSA(s) only based on the
 113 remote fraction of the data, based on the identity the operation is performed as.
 114 As a consequence, local rules might only be allowed to see a portion
 115 of the remote data.
 116
 117 .SH CAVEATS
 118 .LP
 119 The Translucent Proxy overlay will disable schema checking in the local database,
 120 so that an entry consisting of overlay attributes need not adhere to the
 121 complete schema.
 122 .LP
 123 Because the translucent overlay does not perform any DN rewrites,  the local
 124 and remote database instances must have the same suffix.  Other configurations
 125 will probably fail with No Such Object and other errors.
 126 .SH FILES
 127 .TP
 128 ETCDIR/slapd.conf
 129 default slapd configuration file
 130 .SH SEE ALSO
 131 .BR slapd.conf (5),
 132 .BR slapd\-config (5),
 133 .BR slapd\-ldap (5).