1 # OpenLDAP Core schema
2 # $OpenLDAP$
3 ## This work is part of OpenLDAP Software <http://www.openldap.org/>.
4 ##
5 ## Copyright 1998-2014 The OpenLDAP Foundation.
6 ## All rights reserved.
7 ##
8 ## Redistribution and use in source and binary forms, with or without
9 ## modification, are permitted only as authorized by the OpenLDAP
10 ## Public License.
11 ##
12 ## A copy of this license is available in the file LICENSE in the
13 ## top-level directory of the distribution or, alternatively, at
14 ## <http://www.OpenLDAP.org/license.html>.
15 #
16 ## Portions Copyright (C) The Internet Society (1997-2003).
17 ## All Rights Reserved.
18 ##
19 ## This document and translations of it may be copied and furnished to
20 ## others, and derivative works that comment on or otherwise explain it
21 ## or assist in its implementation may be prepared, copied, published
22 ## and distributed, in whole or in part, without restriction of any
23 ## kind, provided that the above copyright notice and this paragraph are
24 ## included on all such copies and derivative works.  However, this
25 ## document itself may not be modified in any way, such as by removing
26 ## the copyright notice or references to the Internet Society or other
27 ## Internet organizations, except as needed for the purpose of
28 ## developing Internet standards in which case the procedures for
29 ## copyrights defined in the Internet Standards process must be         
30 ## followed, or as required to translate it into languages other than
31 ## English.
32 ##                                                                      
33 ## The limited permissions granted above are perpetual and will not be  
34 ## revoked by the Internet Society or its successors or assigns.        
35 ## 
36 ## This document and the information contained herein is provided on an 
42 #
43 #
44 #
45 # Includes LDAPv3 schema items from:
46 #       RFC 2252/2256 (LDAPv3)
47 #
48 # Select standard track schema items:
49 #       RFC 1274 (uid/dc)
50 #       RFC 2079 (URI)
51 #       RFC 2247 (dc/dcObject)
52 #       RFC 2587 (PKI)
53 #       RFC 2589 (Dynamic Directory Services)
54 #
55 # Select informational schema items:
56 #       RFC 2377 (uidObject)
57 #
58 #
59 # Standard attribute types from RFC 2256
60 #
61 dn: cn=core,cn=schema,cn=config
62 objectClass: olcSchemaConfig
63 cn: core
64 #
65 # system schema
66 #olcAttributeTypes: ( NAME 'objectClass'
67 #       DESC 'RFC2256: object classes of the entity'
68 #       EQUALITY objectIdentifierMatch
69 #       SYNTAX )
70 #
71 # system schema
72 #olcAttributeTypes: ( NAME ( 'aliasedObjectName' 'aliasedEntryName' )
73 #       DESC 'RFC2256: name of aliased object'
74 #       EQUALITY distinguishedNameMatch
76 #
77 olcAttributeTypes: ( NAME 'knowledgeInformation'
78   DESC 'RFC2256: knowledge information'
79   EQUALITY caseIgnoreMatch
80   SYNTAX{32768} )
81 #
82 # system schema
83 #olcAttributeTypes: ( NAME ( 'cn' 'commonName' )
84 #       DESC 'RFC2256: common name(s) for which the entity is known by'
85 #       SUP name )
86 #
87 olcAttributeTypes: ( NAME ( 'sn' 'surname' )
88   DESC 'RFC2256: last (family) name(s) for which the entity is known by'
89   SUP name )
90 #
91 olcAttributeTypes: ( NAME 'serialNumber'
92   DESC 'RFC2256: serial number of the entity'
93   EQUALITY caseIgnoreMatch
94   SUBSTR caseIgnoreSubstringsMatch
95   SYNTAX{64} )
96 #
97 # RFC 4519 definition ('countryName' in X.500 and RFC2256)
98 olcAttributeTypes: ( NAME ( 'c' 'countryName' )
99   DESC 'RFC4519: two-letter ISO-3166 country code'
100   SUP name
101   SYNTAX
103 #
104 olcAttributeTypes: ( NAME ( 'l' 'localityName' )
105   DESC 'RFC2256: locality which this object resides in'
106   SUP name )
107 #
108 olcAttributeTypes: ( NAME ( 'st' 'stateOrProvinceName' )
109   DESC 'RFC2256: state or province which this object resides in'
110   SUP name )
111 #
112 olcAttributeTypes: ( NAME ( 'street' 'streetAddress' )
113   DESC 'RFC2256: street address of this object'
114   EQUALITY caseIgnoreMatch
115   SUBSTR caseIgnoreSubstringsMatch
116   SYNTAX{128} )
117 #
118 olcAttributeTypes: ( NAME ( 'o' 'organizationName' )
119   DESC 'RFC2256: organization this object belongs to'
120   SUP name )
121 #
122 olcAttributeTypes: ( NAME ( 'ou' 'organizationalUnitName' )
123   DESC 'RFC2256: organizational unit this object belongs to'
124   SUP name )
125 #
126 olcAttributeTypes: ( NAME 'title'
127   DESC 'RFC2256: title associated with the entity'
128   SUP name )
129 #
130 # system schema
131 #olcAttributeTypes: ( NAME 'description'
132 #       DESC 'RFC2256: descriptive information'
133 #       EQUALITY caseIgnoreMatch
134 #       SUBSTR caseIgnoreSubstringsMatch
135 #       SYNTAX{1024} )
136 #
137 # Deprecated by enhancedSearchGuide
138 olcAttributeTypes: ( NAME 'searchGuide'
139   DESC 'RFC2256: search guide, deprecated by enhancedSearchGuide'
140   SYNTAX )
141 #
142 olcAttributeTypes: ( NAME 'businessCategory'
143   DESC 'RFC2256: business category'
144   EQUALITY caseIgnoreMatch
145   SUBSTR caseIgnoreSubstringsMatch
146   SYNTAX{128} )
147 #
148 olcAttributeTypes: ( NAME 'postalAddress'
149   DESC 'RFC2256: postal address'
150   EQUALITY caseIgnoreListMatch
151   SUBSTR caseIgnoreListSubstringsMatch
152   SYNTAX )
153 #
154 olcAttributeTypes: ( NAME 'postalCode'
155   DESC 'RFC2256: postal code'
156   EQUALITY caseIgnoreMatch
157   SUBSTR caseIgnoreSubstringsMatch
158   SYNTAX{40} )
159 #
160 olcAttributeTypes: ( NAME 'postOfficeBox'
161   DESC 'RFC2256: Post Office Box'
162   EQUALITY caseIgnoreMatch
163   SUBSTR caseIgnoreSubstringsMatch
164   SYNTAX{40} )
165 #
166 olcAttributeTypes: ( NAME 'physicalDeliveryOfficeName'
167   DESC 'RFC2256: Physical Delivery Office Name'
168   EQUALITY caseIgnoreMatch
169   SUBSTR caseIgnoreSubstringsMatch
170   SYNTAX{128} )
171 #
172 olcAttributeTypes: ( NAME 'telephoneNumber'
173   DESC 'RFC2256: Telephone Number'
174   EQUALITY telephoneNumberMatch
175   SUBSTR telephoneNumberSubstringsMatch
176   SYNTAX{32} )
177 #
178 olcAttributeTypes: ( NAME 'telexNumber'
179   DESC 'RFC2256: Telex Number'
180   SYNTAX )
181 #
182 olcAttributeTypes: ( NAME 'teletexTerminalIdentifier'
183   DESC 'RFC2256: Teletex Terminal Identifier'
184   SYNTAX )
185 #
186 olcAttributeTypes: ( NAME ( 'facsimileTelephoneNumber' 'fax' )
187   DESC 'RFC2256: Facsimile (Fax) Telephone Number'
188   SYNTAX )
189 #
190 olcAttributeTypes: ( NAME 'x121Address'
191   DESC 'RFC2256: X.121 Address'
192   EQUALITY numericStringMatch
193   SUBSTR numericStringSubstringsMatch
194   SYNTAX{15} )
195 #
196 olcAttributeTypes: ( NAME 'internationaliSDNNumber'
197   DESC 'RFC2256: international ISDN number'
198   EQUALITY numericStringMatch
199   SUBSTR numericStringSubstringsMatch
200   SYNTAX{16} )
201 #
202 olcAttributeTypes: ( NAME 'registeredAddress'
203   DESC 'RFC2256: registered postal address'
204   SUP postalAddress
205   SYNTAX )
206 #
207 olcAttributeTypes: ( NAME 'destinationIndicator'
208   DESC 'RFC2256: destination indicator'
209   EQUALITY caseIgnoreMatch
210   SUBSTR caseIgnoreSubstringsMatch
211   SYNTAX{128} )
212 #
213 olcAttributeTypes: ( NAME 'preferredDeliveryMethod'
214   DESC 'RFC2256: preferred delivery method'
215   SYNTAX
217 #
218 olcAttributeTypes: ( NAME 'presentationAddress'
219   DESC 'RFC2256: presentation address'
220   EQUALITY presentationAddressMatch
221   SYNTAX
223 #
224 olcAttributeTypes: ( NAME 'supportedApplicationContext'
225   DESC 'RFC2256: supported application context'
226   EQUALITY objectIdentifierMatch
227   SYNTAX )
228 #
229 olcAttributeTypes: ( NAME 'member'
230   DESC 'RFC2256: member of a group'
231   SUP distinguishedName )
232 #
233 olcAttributeTypes: ( NAME 'owner'
234   DESC 'RFC2256: owner (of the object)'
235   SUP distinguishedName )
236 #
237 olcAttributeTypes: ( NAME 'roleOccupant'
238   DESC 'RFC2256: occupant of role'
239   SUP distinguishedName )
240 #
241 # system schema
242 #olcAttributeTypes: ( NAME 'seeAlso'
243 #       DESC 'RFC2256: DN of related object'
244 #       SUP distinguishedName )
245 #
246 # system schema
247 #olcAttributeTypes: ( NAME 'userPassword'
248 #       DESC 'RFC2256/2307: password of user'
249 #       EQUALITY octetStringMatch
250 #       SYNTAX{128} )
251 #
252 # Must be transferred using ;binary
253 # with certificateExactMatch rule (per X.509)
254 olcAttributeTypes: ( NAME 'userCertificate'
255   DESC 'RFC2256: X.509 user certificate, use ;binary'
256   EQUALITY certificateExactMatch
257   SYNTAX )
258 #
259 # Must be transferred using ;binary
260 # with certificateExactMatch rule (per X.509)
261 olcAttributeTypes: ( NAME 'cACertificate'
262   DESC 'RFC2256: X.509 CA certificate, use ;binary'
263   EQUALITY certificateExactMatch
264   SYNTAX )
265 #
266 # Must be transferred using ;binary
267 olcAttributeTypes: ( NAME 'authorityRevocationList'
268   DESC 'RFC2256: X.509 authority revocation list, use ;binary'
269   SYNTAX )
270 #
271 # Must be transferred using ;binary
272 olcAttributeTypes: ( NAME 'certificateRevocationList'
273   DESC 'RFC2256: X.509 certificate revocation list, use ;binary'
274   SYNTAX )
275 #
276 # Must be stored and requested in the binary form
277 olcAttributeTypes: ( NAME 'crossCertificatePair'
278   DESC 'RFC2256: X.509 cross certificate pair, use ;binary'
279   SYNTAX )
280 #
281 # is defined above as it's used for subtyping
282 #olcAttributeTypes: ( NAME 'name'
283 #       EQUALITY caseIgnoreMatch
284 #       SUBSTR caseIgnoreSubstringsMatch
285 #       SYNTAX{32768} )
286 #
287 olcAttributeTypes: ( NAME ( 'givenName' 'gn' )
288   DESC 'RFC2256: first name(s) for which the entity is known by'
289   SUP name )
290 #
291 olcAttributeTypes: ( NAME 'initials'
292   DESC 'RFC2256: initials of some or all of names, but not the surname(s).'
293   SUP name )
294 #
295 olcAttributeTypes: ( NAME 'generationQualifier'
296   DESC 'RFC2256: name qualifier indicating a generation'
297   SUP name )
298 #
299 olcAttributeTypes: ( NAME 'x500UniqueIdentifier'
300   DESC 'RFC2256: X.500 unique identifier'
301   EQUALITY bitStringMatch
302   SYNTAX )
303 #
304 olcAttributeTypes: ( NAME 'dnQualifier'
305   DESC 'RFC2256: DN qualifier'
306   EQUALITY caseIgnoreMatch
307   ORDERING caseIgnoreOrderingMatch
308   SUBSTR caseIgnoreSubstringsMatch
309   SYNTAX )
310 #
311 olcAttributeTypes: ( NAME 'enhancedSearchGuide'
312   DESC 'RFC2256: enhanced search guide'
313   SYNTAX )
314 #
315 olcAttributeTypes: ( NAME 'protocolInformation'
316   DESC 'RFC2256: protocol information'
317   EQUALITY protocolInformationMatch
318   SYNTAX )
319 #
320 # is defined above as it's used for subtyping
321 #olcAttributeTypes: ( NAME 'distinguishedName'
322 #       EQUALITY distinguishedNameMatch
323 #       SYNTAX )
324 #
325 olcAttributeTypes: ( NAME 'uniqueMember'
326   DESC 'RFC2256: unique member of a group'
327   EQUALITY uniqueMemberMatch
328   SYNTAX )
329 #
330 olcAttributeTypes: ( NAME 'houseIdentifier'
331   DESC 'RFC2256: house identifier'
332   EQUALITY caseIgnoreMatch
333   SUBSTR caseIgnoreSubstringsMatch
334   SYNTAX{32768} )
335 #
336 # Must be transferred using ;binary
337 olcAttributeTypes: ( NAME 'supportedAlgorithms'
338   DESC 'RFC2256: supported algorithms'
339   SYNTAX )
340 #
341 # Must be transferred using ;binary
342 olcAttributeTypes: ( NAME 'deltaRevocationList'
343   DESC 'RFC2256: delta revocation list; use ;binary'
344   SYNTAX )
345 #
346 olcAttributeTypes: ( NAME 'dmdName'
347   DESC 'RFC2256: name of DMD'
348   SUP name )
349 #
350 olcAttributeTypes: ( NAME 'pseudonym'
351   DESC 'X.520(4th): pseudonym for the object'
352   SUP name )
353 #
354 # Standard object classes from RFC2256
355 #
356 # system schema
357 #olcObjectClasses: ( NAME 'alias'
358 #       DESC 'RFC2256: an alias'
359 #       SUP top STRUCTURAL
360 #       MUST aliasedObjectName )
361 #
362 olcObjectClasses: ( NAME 'country'
363   DESC 'RFC2256: a country'
365   MUST c
366   MAY ( searchGuide $ description ) )
367 #
368 olcObjectClasses: ( NAME 'locality'
369   DESC 'RFC2256: a locality'
371   MAY ( street $ seeAlso $ searchGuide $ st $ l $ description ) )
372 #
373 olcObjectClasses: ( NAME 'organization'
374   DESC 'RFC2256: an organization'
376   MUST o
377   MAY ( userPassword $ searchGuide $ seeAlso $ businessCategory $
378   x121Address $ registeredAddress $ destinationIndicator $
379   preferredDeliveryMethod $ telexNumber $ teletexTerminalIdentifier $
380   telephoneNumber $ internationaliSDNNumber $ 
381   facsimileTelephoneNumber $ street $ postOfficeBox $ postalCode $
382   postalAddress $ physicalDeliveryOfficeName $ st $ l $ description ) )
383 #
384 olcObjectClasses: ( NAME 'organizationalUnit'
385   DESC 'RFC2256: an organizational unit'
387   MUST ou
388   MAY ( userPassword $ searchGuide $ seeAlso $ businessCategory $
389   x121Address $ registeredAddress $ destinationIndicator $
390   preferredDeliveryMethod $ telexNumber $ teletexTerminalIdentifier $
391   telephoneNumber $ internationaliSDNNumber $
392   facsimileTelephoneNumber $ street $ postOfficeBox $ postalCode $
393   postalAddress $ physicalDeliveryOfficeName $ st $ l $ description ) )
394 #
395 olcObjectClasses: ( NAME 'person'
396   DESC 'RFC2256: a person'
398   MUST ( sn $ cn )
399   MAY ( userPassword $ telephoneNumber $ seeAlso $ description ) )
400 #
401 olcObjectClasses: ( NAME 'organizationalPerson'
402   DESC 'RFC2256: an organizational person'
403   SUP person STRUCTURAL
404   MAY ( title $ x121Address $ registeredAddress $ destinationIndicator $
405   preferredDeliveryMethod $ telexNumber $ teletexTerminalIdentifier $
406   telephoneNumber $ internationaliSDNNumber $ 
407   facsimileTelephoneNumber $ street $ postOfficeBox $ postalCode $
408   postalAddress $ physicalDeliveryOfficeName $ ou $ st $ l ) )
409 #
410 olcObjectClasses: ( NAME 'organizationalRole'
411   DESC 'RFC2256: an organizational role'
413   MUST cn
414   MAY ( x121Address $ registeredAddress $ destinationIndicator $
415   preferredDeliveryMethod $ telexNumber $ teletexTerminalIdentifier $
416   telephoneNumber $ internationaliSDNNumber $ facsimileTelephoneNumber $
417   seeAlso $ roleOccupant $ preferredDeliveryMethod $ street $
418   postOfficeBox $ postalCode $ postalAddress $
419   physicalDeliveryOfficeName $ ou $ st $ l $ description ) )
420 #
421 olcObjectClasses: ( NAME 'groupOfNames'
422   DESC 'RFC2256: a group of names (DNs)'
424   MUST ( member $ cn )
425   MAY ( businessCategory $ seeAlso $ owner $ ou $ o $ description ) )
426 #
427 olcObjectClasses: ( NAME 'residentialPerson'
428   DESC 'RFC2256: an residential person'
429   SUP person STRUCTURAL
430   MUST l
431   MAY ( businessCategory $ x121Address $ registeredAddress $
432   destinationIndicator $ preferredDeliveryMethod $ telexNumber $
433   teletexTerminalIdentifier $ telephoneNumber $ internationaliSDNNumber $
434   facsimileTelephoneNumber $ preferredDeliveryMethod $ street $
435   postOfficeBox $ postalCode $ postalAddress $
436   physicalDeliveryOfficeName $ st $ l ) )
437 #
438 olcObjectClasses: ( NAME 'applicationProcess'
439   DESC 'RFC2256: an application process'
441   MUST cn
442   MAY ( seeAlso $ ou $ l $ description ) )
443 #
444 olcObjectClasses: ( NAME 'applicationEntity'
445   DESC 'RFC2256: an application entity'
447   MUST ( presentationAddress $ cn )
448   MAY ( supportedApplicationContext $ seeAlso $ ou $ o $ l $
449   description ) )
450 #
451 olcObjectClasses: ( NAME 'dSA'
452   DESC 'RFC2256: a directory system agent (a server)'
453   SUP applicationEntity STRUCTURAL
454   MAY knowledgeInformation )
455 #
456 olcObjectClasses: ( NAME 'device'
457   DESC 'RFC2256: a device'
459   MUST cn
460   MAY ( serialNumber $ seeAlso $ owner $ ou $ o $ l $ description ) )
461 #
462 olcObjectClasses: ( NAME 'strongAuthenticationUser'
463   DESC 'RFC2256: a strong authentication user'
465   MUST userCertificate )
466 #
467 olcObjectClasses: ( NAME 'certificationAuthority'
468   DESC 'RFC2256: a certificate authority'
470   MUST ( authorityRevocationList $ certificateRevocationList $
471   cACertificate ) MAY crossCertificatePair )
472 #
473 olcObjectClasses: ( NAME 'groupOfUniqueNames'
474   DESC 'RFC2256: a group of unique names (DN and Unique Identifier)'
476   MUST ( uniqueMember $ cn )
477   MAY ( businessCategory $ seeAlso $ owner $ ou $ o $ description ) )
478 #
479 olcObjectClasses: ( NAME 'userSecurityInformation'
480   DESC 'RFC2256: a user security information'
482   MAY ( supportedAlgorithms ) )
483 #
484 olcObjectClasses: ( NAME 'certificationAuthority-V2'
485   SUP certificationAuthority
486   AUXILIARY MAY ( deltaRevocationList ) )
487 #
488 olcObjectClasses: ( NAME 'cRLDistributionPoint'
490   MUST ( cn )
491   MAY ( certificateRevocationList $ authorityRevocationList $
492   deltaRevocationList ) )
493 #
494 olcObjectClasses: ( NAME 'dmd'
496   MUST ( dmdName )
497   MAY ( userPassword $ searchGuide $ seeAlso $ businessCategory $
498   x121Address $ registeredAddress $ destinationIndicator $
499   preferredDeliveryMethod $ telexNumber $ teletexTerminalIdentifier $
500   telephoneNumber $ internationaliSDNNumber $ facsimileTelephoneNumber $
501   street $ postOfficeBox $ postalCode $ postalAddress $
502   physicalDeliveryOfficeName $ st $ l $ description ) )
503 #
504 #
505 # Object Classes from RFC 2587
506 #
507 olcObjectClasses: ( NAME 'pkiUser'
508   DESC 'RFC2587: a PKI user'
510   MAY userCertificate )
511 #
512 olcObjectClasses: ( NAME 'pkiCA'
513   DESC 'RFC2587: PKI certificate authority'
515   MAY ( authorityRevocationList $ certificateRevocationList $
516   cACertificate $ crossCertificatePair ) )
517 #
518 olcObjectClasses: ( NAME 'deltaCRL'
519   DESC 'RFC2587: PKI user'
521   MAY deltaRevocationList )
522 #
523 #
524 # Standard Track URI label schema from RFC 2079
525 # system schema
526 #olcAttributeTypes: ( NAME 'labeledURI'
527 #       DESC 'RFC2079: Uniform Resource Identifier with optional label'
528 #       EQUALITY caseExactMatch
529 #       SYNTAX )
530 #
531 olcObjectClasses: ( NAME 'labeledURIObject'
532   DESC 'RFC2079: object that contains the URI attribute type'
533   MAY ( labeledURI )
534   SUP top AUXILIARY )
535 #
536 #
537 # Derived from RFC 1274, but with new "short names"
538 #
539 #olcAttributeTypes: ( 0.9.2342.19200300.100.1.1
540 #       NAME ( 'uid' 'userid' )
541 #       DESC 'RFC1274: user identifier'
542 #       EQUALITY caseIgnoreMatch
543 #       SUBSTR caseIgnoreSubstringsMatch
544 #       SYNTAX{256} )
545 #
546 olcAttributeTypes: ( 0.9.2342.19200300.100.1.3
547   NAME ( 'mail' 'rfc822Mailbox' )
548   DESC 'RFC1274: RFC822 Mailbox'
549     EQUALITY caseIgnoreIA5Match
550     SUBSTR caseIgnoreIA5SubstringsMatch
551     SYNTAX{256} )
552 #
553 olcObjectClasses: ( 0.9.2342.19200300.100.4.19 NAME 'simpleSecurityObject'
554   DESC 'RFC1274: simple security object'
556   MUST userPassword )
557 #
558 # RFC 1274 + RFC 2247
559 olcAttributeTypes: ( 0.9.2342.19200300.100.1.25
560   NAME ( 'dc' 'domainComponent' )
561   DESC 'RFC1274/2247: domain component'
562   EQUALITY caseIgnoreIA5Match
563   SUBSTR caseIgnoreIA5SubstringsMatch
565 #
566 # RFC 2247
567 olcObjectClasses: ( NAME 'dcObject'
568   DESC 'RFC2247: domain component object'
569   SUP top AUXILIARY MUST dc )
570 #
571 # RFC 2377
572 olcObjectClasses: ( NAME 'uidObject'
573   DESC 'RFC2377: uid object'
574   SUP top AUXILIARY MUST uid )
575 #
576 # From COSINE Pilot
577 olcAttributeTypes: ( 0.9.2342.19200300.100.1.37
578   NAME 'associatedDomain'
579   DESC 'RFC1274: domain associated with object'
580   EQUALITY caseIgnoreIA5Match
581   SUBSTR caseIgnoreIA5SubstringsMatch
582   SYNTAX )
583 #
584 # RFC 2459 -- deprecated in favor of 'mail' (in cosine.schema)
585 olcAttributeTypes: ( 1.2.840.113549.1.9.1
586   NAME ( 'email' 'emailAddress' 'pkcs9email' )
587   DESC 'RFC3280: legacy attribute for email addresses in DNs'
588   EQUALITY caseIgnoreIA5Match
589   SUBSTR caseIgnoreIA5SubstringsMatch
590   SYNTAX{128} )
591 #