Depuis la version 2.3, la configuration OpenLDAP n'utilise plus le fichier slapd.conf, mais peut être dynamique, et passe donc par des fichiers LDIF, ce qui est en soi plutôt une bonne idée.
Malheureusement, la documentation n'a pas suivi, et il est difficile de trouver des exemples expliquant comment configurer un OpenLDAP à la nouvelle mode. Sur ce point, OpenDJ est quand même nettement au dessus (console d'administration distante, etc.).
Voici un exemple de configuration d'un suffixe, qui est maintenant dans un fichier LDIF.
$ cat myConfig.ldif objectClass: olcDatabaseConfig objectClass: olcHdbConfig olcDatabase: {1}hdb olcDbDirectory: /var/lib/ldap olcSuffix: dc=example,dc=com olcAccess: {0}to attrs=userPassword,shadowLastChange by self write by anonymou s auth by dn="cn=admin,dc=example,dc=com" write by * none olcAccess: {1}to dn.base="" by * read olcAccess: {2}to * by self write by dn="cn=admin,dc=example,dc=com" wr ite by * read olcLastMod: TRUE olcRootDN: cn=admin,dc=example,dc=com olcRootPW:: e1NTSEF9T0llb1Bua1VuOGl1aVR3QktON3M1eHNiWEgzYmJnVTM= olcRequires: authc olcDbCheckpoint: 512 30 olcDbConfig: {0}set_cachesize 0 2097152 0 olcDbConfig: {1}set_lk_max_objects 1500 olcDbConfig: {2}set_lk_max_locks 1500 olcDbConfig: {3}set_lk_max_lockers 1500 olcDbIndex: objectClass eq structuralObjectClass: olcHdbConfig entryUUID: a0291266-016d-1031-9e66-fb5b3d252f69
On remarquera l'utilisation de la ligne olcRequires: authc, ce qui empêche les accès anonymes (en fait, on demande une authentification). C'est déjà un premier niveau de sécurisation, qui fait qu'il n'est pas possible de parcourir l'arborescence de l'annuaire sans y être connecté.
La documentation d'administration OpenLDAP se trouve ici.