Configuration OpenLDAP 2.3+

Depuis la version 2.3, la configuration OpenLDAP n'utilise plus le fichier slapd.conf, mais peut être dynamique, et passe donc par des fichiers LDIF, ce qui est en soi plutôt une bonne idée.

Malheureusement, la documentation n'a pas suivi, et il est difficile de trouver des exemples expliquant comment configurer un OpenLDAP à la nouvelle mode. Sur ce point, OpenDJ est quand même nettement au dessus (console d'administration distante, etc.).

Voici un exemple de configuration d'un suffixe, qui est maintenant dans un fichier LDIF.

$ cat myConfig.ldif
objectClass: olcDatabaseConfig
objectClass: olcHdbConfig
olcDatabase: {1}hdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=example,dc=com
olcAccess: {0}to attrs=userPassword,shadowLastChange by self write by anonymou
s auth by dn="cn=admin,dc=example,dc=com" write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by self write by dn="cn=admin,dc=example,dc=com" wr
ite by * read
olcLastMod: TRUE
olcRootDN: cn=admin,dc=example,dc=com
olcRootPW:: e1NTSEF9T0llb1Bua1VuOGl1aVR3QktON3M1eHNiWEgzYmJnVTM=
olcRequires: authc
olcDbCheckpoint: 512 30
olcDbConfig: {0}set_cachesize 0 2097152 0
olcDbConfig: {1}set_lk_max_objects 1500
olcDbConfig: {2}set_lk_max_locks 1500
olcDbConfig: {3}set_lk_max_lockers 1500
olcDbIndex: objectClass eq
structuralObjectClass: olcHdbConfig
entryUUID: a0291266-016d-1031-9e66-fb5b3d252f69

On remarquera l'utilisation de la ligne olcRequires: authc, ce qui empêche les accès anonymes (en fait, on demande une authentification). C'est déjà un premier niveau de sécurisation, qui fait qu'il n'est pas possible de parcourir l'arborescence de l'annuaire sans y être connecté.

La documentation d'administration OpenLDAP se trouve ici.

 

 

Catégorie: 

Tag: