OpenLDAP est souvent un peu chatouilleux sur le respect de la syntaxe LDAP, nous l'avons déjà vu par ailleurs (cf . http://www.vincentliefooghe.net/node/45).
J'ai eu récemment des problèmes dans le provisionnement d'un annuaire OpenLDAP par ITIM, avec dans les traces ITIM (le fichier trace.log), les lignes :
Il est très fréquent de vouloir ajouter ses propres attributs et classes d'objets à un annuaire LDAP, car les classes et attributs standards ne couvrent pas tous les cas fonctionnels. Cette opération peut maintenant être réalisée en "live" sur OpenLDAP, via l'objet cn=schema,cn=config. Il faut pour cela créer un fichier LDIF contenant la définition des attributs à ajouter et les classes d'objets, puis ajouter ce fichier LDIF dans l'annuaire.
Exemple de fichier LDIF :
Les logs OpenLDAP sont gérés par syslog. Il faut ajouter une ligne dans /etc/rsyslog.conf , sachant que openldap log sur la facility local4:
# Log Openldap local4.* -/product/openldap/log/slapd.log
Dans notre exemple, les logs seront situés dans le répertoire /product/openldap/log.
Note : l'ajout d'un tiret devant le nom du fichier permet à syslog d'écrire en mode asynchrone, ce qui améliore les performances.
Il faut ensuite redémarrer openldap et syslog :
Par défaut dans OpenLDAP le mot de passe utilisateur (attribut usepassword) est stocké sans cryptage.
Si on modifie le mot de passe via un fichier LDIF, on aura donc le mot de passe en clair dans l'annuaire, ce qui n'est pas sécurisé.
On peut également appliquer un algorithme de cryptage en amont (dans l'application cliente) et le transmettre à OpenLDA, qui va le stocker tel quel.