SLAPO-TRANSLUCENT(5)

НАЗВАНИЕ

slapo-translucent - наложение прозрачного прокси для slapd

ОБЗОР

/usr/local/etc/openldap/slapd.conf

ОПИСАНИЕ

Наложение прозрачного прокси может быть использовано с базами данных таких механизмов манипуляции данными, как slapd-bdb(5) для создания "прозрачного прокси". В записях, получаемых с удаленного сервера LDAP, перед тем, как они будут предоставлены клиенту, могут быть переопределены значения некоторых или всех атрибутов, либо добавлены новые атрибуты. Значения переопределяемых или добавляемых атрибутов берутся из записей в локальной базе данных.

При выполнении операции Search в первую очередь берутся данные с удалённого сервера LDAP, атрибуты которых затем переопределяются значениями атрибутов тех же записей, находящихся в локальной базе данных. Значения для переопределений в локальной базе данных могут заданы с помощью операций Add, Modify, и Modrdn, выполнять которые может только пользователь root.

Операция Compare будет выполнять сравнение с атрибутами, определёнными в записях локальной базы данных (если таковые имеются), а затем сравнение будет выполняться с данными в удалённой базе данных.

КОНФИГУРАЦИЯ

Наложение прозрачного прокси использует проксируемую базу данных, обычно представляющую собой обращения к удалённому LDAP-серверу (набору LDAP-серверов), настраиваемые с помощью параметров, описанных в man-страницах slapd-ldap(5), slapd-meta(5) или подобных им. Приведённые ниже параметры slapd.conf являются специфичными для наложения прозрачного прокси; они должны быть указаны после директивы overlay, инициализирующей наложение translucent.

translucent_strict

По умолчанию, попытки удаления атрибутов как в локальной, так и в удалённой базе данных, будут проигнорированы без вывода каких-либо сообщений. При указании директивы translucent_strict такие модификации будут завершаться неудачей с выводом ошибки "Constraint Violation".

translucent_no_glue

Данный параметр конфигурации отключает автоматическое создание "опорных" записей для операций Add и Modrdn, таким образом все родительские записи для добавляемой записи в локальной базе данных должны быть созданы вручную. Для операции Modify опорные записи создаются всегда.

translucent_local <attr[,attr...]>

Определяет список атрибутов, поиск по которым, при их использовании в поисковом фильтре, должен быть осуществлён в локальной базе данных. По умолчанию поиск по атрибутам из поискового фильтра осуществляется только в удалённой базе данных. При наличии этой директивы поисковые фильтры будут разделяться на локальную и удалённую части, и поиск по локальным атрибутам будет осуществляться локально.

translucent_remote <attr[,attr...]>

Определяет список атрибутов, поиск по которым, при их использовании в поисковом фильтре, должен быть осуществлён в удалённой базе данных. Данная директива дополняет директиву translucent_local. При желании атрибуты могут быть указаны сразу и в списке локальных, и в списке удалённых.

Если не указано ни одной из директив translucent_local и translucent_remote, по умолчанию поиск с полным поисковым фильтром будет осуществляться в удалённой базе данных. Если определена только директива translucent_local, поиск будет осуществляться только в локальной базе данных. Аналогично, если определена только директива translucent_remote, поиск будет осуществляться только в удалённой базе данных. В любом случае, соответствующие результатам поиска локальные и удалённые записи будут объединены перед отправкой их клиенту.

translucent_bind_local

Включает возможность поиска удостоверяющих данных для выполнения простого подсоединения в локальной базе данных, если подсоединение к удалённой базе данных завершается неудачей. По умолчанию такая возможность отключена.

translucent_pwmod_local

Включает возможность выполнения расширенной операции модификации пароля (RFC 3062) с удостоверяющими данными, хранимыми в локальной базе данных. Эта операция применяется только к тем записям, которые присутствуют в удалённой базе данных. По умолчанию такая возможность отключена.

КОНТРОЛЬ ДОСТУПА

Для операций аутентификации (auth) и записи (write) контроль доступа делегируется либо удалённому DSA (нескольким DSA), либо механизму манипуляции данными локальной базы данных. Для операций чтения (read) он делегируется удалённому DSA (нескольким DSA) и механизму манипуляции данными frontend. Локальные правила доступа, затрагивающие данные, возвращаемые удалённым DSA (несколькими DSA), должны быть составлены особенно тщательно. Фактически, записи, возвращаемые удалённым DSA (нескольким DSA), основаны только на удалённой части данных и зависят от идентификационной сущности, от имени которой выполняется операция. Как следствие, локальные правила могут оперировать только с полученной порцией удалённых данных (просматривать эти данные).

ПРЕДОСТЕРЕЖЕНИЯ

Наложение прозрачного прокси отключает проверку схемы данных каталога в локальной базе данных, поэтому от записей, содержащих атрибуты наложения, не требуется полного соблюдения схемы данных.

Поскольку наложение translucent не выполняет каких-либо перезаписей DN, экземпляры локальной и удалённой баз данных должны иметь один и тот же суффикс. В противном случае обращения к базе данных, возможно, будут завершаться неудачей с выводом ошибки "No Such Object", либо других ошибок.

ФАЙЛЫ

/usr/local/etc/openldap/slapd.conf

конфигурационный файл slapd по умолчанию.

СМОТРИТЕ ТАКЖЕ

slapd.conf(5), slapd-config(5), slapd-ldap(5).

OpenLDAP 2.4.47 SLAPO-TRANSLUCENT(5) 2018/12/19