Просмотр сообщений
1
Конфигурация через cn=config / Re: Конфигурация cn=config без переконвертации slapd.conf
« : 13 Февраль 2013, 16:29:31 »Если вдруг кому-то это ещё нужно, я наконец (не прошло и года =) ) написал материал о том, как "с нуля" создать кнфигурацию cn=config.Как по мне, создавать конфигурацию slapd через ldif крайне неудобно. Я, обычно, после установки пакета slapd (на дебиане), меняю olcRootDN на cn=admin,cn=config и добавляю olcRootPW с помощью ldapvi. В последнюю опцию нужен хэш, который получается с помощью тулзы slappasswd. В дебиане этот тул находится в /usr/sbin, хотя рут для того чтобы сгенерировать хэш не нужен, но нужен для ldapvi, т.к. дебиановский конфигуратор добавляет доступ к cn=config через ldapi:// (unix-сокет). Запускать ldapvi надо так:
Егор
Код: [Выделить]
ldapvi -Y EXTERNAL -h ldapi:/// -b cn=config Дальше ставлю какой-нибудь модный LDAP редактор, типа http://directory.apache.org/studio/.
Можно попробовать phpldapadmin, но с последним можно словить проблемы с доступом в cn=config (как и множество других проблем, всё-таки крайне убогое и глючное падение -- php, как-никак, но альтернатив с веб-интерфейсом ему особо нет).
Для удобства, я ставлю
Код: [Выделить]
olcRootDN: cn=admin,cn=config вобще всем базам в slapd, проблем с безопаснотью тут нет, т.к. если у кого-то есть пароль от этого пользователя, дать ему доступ ко всем базам серевера -- это дело техники. Единственный нюанс тут -- olcRootPW может быть только один.Всю дальнейшую настройку можно осществлять по статьям, которых в инете много, в том числе на этом сайте. Единственный нюанс, cn=config надо прописать руками в настройках, т.к. slapd его не отдаёт по умолчанию (что правильно), соответственно его не будет видно в списке.
По поводу конвертации slapd.conf в slapd.d -- никогда этим не занимался, т.к. во-первых тул который это делает (slaptest) крайне редко генерит валидный ldif, а во-вторых, атрибуты для конфигурации через cn=config называются очень похоже на опции из slapd.conf. Т.е. читая статью, где приводится только slapd.conf, можно легко понять какой атрибут соответсвует какой именно опции. В этом, кстати, грфический LDAP-редактор выигрывает у того же ldapvi, т.к. там как-правило есть автодополнение из cn=subschema, а у ldapvi я такого не нашёл.