index      cn,mail,surname,givenname         eq,subinitial

# Права доступа по умолчанию

access to attr=userPassword

           by self write

           by anonymous auth

           by dn="uid=root,dc=test,dc=ru" write

           by * none

# Здесь определяется доступ к атрибуту пароль пользователя. Сам пользователь имеет

# право записи, анонимному пользователю предоставляется возможность пройти

# аутентификацию (после этого он представляет уже другой объект и доступа к паро-

# лям анонимного пользователя не происходит, как можно было бы подумать), а поль-

# зователь с контекстом "uid=root,ou=people,dc=test,dc=ru" имеет право на запись.

# Другие же пользователи доступа к паролю не имеют никакого. Т.е., другими словами,

# никто, кроме администратора и самого пользователя не имеют доступа к паролю.

access to *

           by dn="uid=root,dc=test,dc=ru" write

           by * read

# Доступ к остальным полям базы LDAP - все могут читать атрибуты (кроме пароля,

# так как запрет имеет более высокий приоритет), а пользователь с контекстом

# root может писать всё что угодно (а кто ж ему помешает ).

Добавлю, что в этом файле можно ещё указывать дополнительные параметры для взаимодействия нескольких серверов (реплик): в частности, основной сервер, вторичные сервера, пароли доступа к ним и т. д. Но это уже другая тема. В основном необходимо сделать 3 вещи:

n  установить суффикс БД и выбрать тип контекста (глобальной сети или организации);

n  указать контекст администратора LDAP;

n  установить пароль администратора LDAP с помощью программы slappasswd.

Чтобы установить алгоритм шифрования пароля, запускайте программу slappasswd так:

slappasswd -h {алгоритм_шифрования}

вместе с символами {}, например:

slappasswd -h {crypt}

или

slappasswd -h {md5}

Вот и всё: сервер может хоть сейчас начинать работать! Но толку пока от него никакого: ведь мы не добавили объектов. Сейчас я расскажу, как создавать базу данных LDAP и проводить аутентификацию через неё.

Создание базы данных

Для первоначальной настройки неплохо было бы объяснить общий синтаксис файлов для создания базы данных (я обозначаю комментарии символом #, но в реальном файле этих комментариев быть не должно!):