]> git.sur5r.net Git - openldap/blob - doc/man/man5/slapo-translucent.5
d71eca2c3024aed48d95c26ebb447120cfa9b99f
[openldap] / doc / man / man5 / slapo-translucent.5
1 .TH SLAPO-TRANSLUCENT 5 "RELEASEDATE" "OpenLDAP LDVERSION"
2 .\" Copyright 2004-2015 The OpenLDAP Foundation All Rights Reserved.
3 .\" Copying restrictions apply.  See COPYRIGHT/LICENSE.
4 .\" $OpenLDAP$
5 .SH NAME
6 slapo\-translucent \- Translucent Proxy overlay to slapd
7 .SH SYNOPSIS
8 ETCDIR/slapd.conf
9 .SH DESCRIPTION
10 The Translucent Proxy overlay can be used with a backend database such as
11 .BR slapd\-bdb (5)
12 to create a "translucent proxy".  Entries retrieved from a remote LDAP
13 server may have some or all attributes overridden, or new attributes
14 added, by entries in the local database before being presented to the
15 client.
16 .LP
17 A
18 .BR search
19 operation is first populated with entries from the remote LDAP server, the
20 attributes of which are then overridden with any attributes defined in the
21 local database. Local overrides may be populated with the
22 .BR add ,
23 .B modify ,
24 and
25 .B modrdn
26 operations, the use of which is restricted to the root user.
27 .LP
28 A
29 .BR compare
30 operation will perform a comparison with attributes defined in the local
31 database record (if any) before any comparison is made with data in the
32 remote database.
33 .SH CONFIGURATION
34 The Translucent Proxy overlay uses a proxied database,
35 typically a (set of) remote LDAP server(s), which is configured with the options shown in
36 .BR slapd\-ldap (5),
37 .BR slapd\-meta (5)
38 or similar.
39 These
40 .B slapd.conf
41 options are specific to the Translucent Proxy overlay; they must appear 
42 after the
43 .B overlay
44 directive that instantiates the
45 .B translucent
46 overlay.
47 .TP
48 .B translucent_strict
49 By default, attempts to delete attributes in either the local or remote
50 databases will be silently ignored. The
51 .B translucent_strict
52 directive causes these modifications to fail with a Constraint Violation.
53 .TP
54 .B translucent_no_glue
55 This configuration option disables the automatic creation of "glue" records
56 for an
57 .B add
58 or
59 .B modrdn
60 operation, such that all parents of an entry added to the local database
61 must be created by hand. Glue records are always created for a
62 .B modify
63 operation.
64 .TP
65 .B translucent_local <attr[,attr...]>
66 Specify a list of attributes that should be searched for in the local database
67 when used in a search filter. By default, search filters are only handled by
68 the remote database. With this directive, search filters will be split into a
69 local and remote portion, and local attributes will be searched locally.
70 .TP
71 .B translucent_remote <attr[,attr...]>
72 Specify a list of attributes that should be searched for in the remote database
73 when used in a search filter. This directive complements the
74 .B translucent_local
75 directive. Attributes may be specified as both local and remote if desired.
76 .LP
77 If neither
78 .B translucent_local
79 nor
80 .B translucent_remote
81 are specified, the default behavior is to search the remote database with the
82 complete search filter. If only
83 .B translucent_local
84 is specified, searches will only be run on the local database. Likewise, if only
85 .B translucent_remote
86 is specified, searches will only be run on the remote database. In any case, both
87 the local and remote entries corresponding to a search result will be merged
88 before being returned to the client.
89
90 .TP
91 .B translucent_bind_local 
92 Enable looking for locally stored credentials for simple bind when binding
93 to the remote database fails.  Disabled by default.
94
95 .TP
96 .B translucent_pwmod_local
97 Enable RFC 3062 Password Modification extended operation on locally stored
98 credentials.  The operation only applies to entries that exist in the remote
99 database.  Disabled by default.
100
101 .SH ACCESS CONTROL
102 Access control is delegated to either the remote DSA(s) or to the local database
103 backend for
104 .B auth
105 and
106 .B write
107 operations.
108 It is delegated to the remote DSA(s) and to the frontend for
109 .B read
110 operations.
111 Local access rules involving data returned by the remote DSA(s) should be designed
112 with care.  In fact, entries are returned by the remote DSA(s) only based on the
113 remote fraction of the data, based on the identity the operation is performed as.
114 As a consequence, local rules might only be allowed to see a portion
115 of the remote data.
116
117 .SH CAVEATS
118 .LP
119 The Translucent Proxy overlay will disable schema checking in the local database,
120 so that an entry consisting of overlay attributes need not adhere to the
121 complete schema.
122 .LP
123 Because the translucent overlay does not perform any DN rewrites,  the local
124 and remote database instances must have the same suffix.  Other configurations
125 will probably fail with No Such Object and other errors.
126 .SH FILES
127 .TP
128 ETCDIR/slapd.conf
129 default slapd configuration file
130 .SH SEE ALSO
131 .BR slapd.conf (5),
132 .BR slapd\-config (5),
133 .BR slapd\-ldap (5).