13.4. File di configurazione di OpenLDAP
I file di configurazione di OpenLDAP vengono installati all'interno della directory /etc/openldap/. Di seguito è riportato un breve elenco delle directory e dei file più importanti:
Directory /etc/openldap/schema/ — questa sottodirectory contiene il file schema utilizzato dal demone slapd. Per maggiori informazioni su questa directory, consultate la la Sezione 13.4.2.
/etc/openldap/ldap.conf — il file di configurazione per tutti le applicazioni client utilizzate dalle librerie OpenLDAP. Tra queste (ma ce ne sono altre), Sendmail, Pine, Balsa, Evolution e Gnome Meeting.
/etc/openldap/slapd.conf — Questo è il file di configurazione per il demon slapd. Per maggiori informazioni, consultate la la Sezione 13.4.1.
 | Nota Bene |
|---|---|
Il pacchetto nss_ldap crea un file chiamato /etc/ldap.conf, che viene utilizzato dai moduli PAM e NSS forniti nel pacchetto nss_ldap. Per maggiori informazioni, consultate la la Sezione 13.7. |
13.4.1. slapd.conf
Per poter utilizzare il server LDAP slapd, dovete modificarne il file di configurazione (/etc/openldap/slapd.conf). Bisogna agire su questo file in modo da renderlo specifico per il vostro dominio e il vostro server.
La linea suffix indica il dominio per il quale il server LDAP fonirà le informazioni e deve essere cambiata da:
include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/nis.schema include /etc/openldap/schema/rfc822-MailMember.schema include /etc/openldap/schema/autofs.schema include /etc/openldap/schema/kerberosobject.schema |
in modo che rifletta il vostro nome di dominio. Per esempio:
include /etc/openldap/schema/local.schema |
La voce rootdn è il DN (Distinguished Name) per un utente che non ha restrizioni da parte del controllo di accesso o dai parametri per i limiti di amministrazione impostati per lo svolgimento di operazioni sulla directory LDAP. L'utente rootdn può essere considerato come l'utente root per la directory LDAP. La linea rootdn deve essere cambiata come riportato di seguito:
suffix "dc=your-domain,dc=com" |
Cambiate la linea rootpw in qualcosa di simile all'esempio riportato qui di seguito:
rootdn "cn=root,dc=example,dc=com" |
Nell'esempio rootpw, la password di root è: criptata, molto più sicura rispetto a una password di testo, che non andrebbe mai utilizzata nel file slapd.conf. Per creare questa stringa criptata, digitate il comando seguente:
slappasswd |
Vi verrà richiesto di digitare e confermare una password. Il programma visualizza la password criptata sul terminale.
 | Avvertimento |
|---|---|
Se non viene attivata la cifratura TLS, le password LDAP, compresa la direttiva rootpw specificata in /etc/openldap/slapd.conf, vengono inviate via rete come testo. |
Per maggior sicurezza, la direttiva rootpw dovrebbe essere utlizzata solo nel caso in cui la configurazione e il popolamento iniziali della directory LDAP avvengono attraverso una rete. Una volta terminata tale operazione, è meglio commentare la direttiva rootpw anteponendo ad essa un cancelletto(#).
 | Suggerimento |
|---|---|
Se state utilizzando il tool a linea di comando slapadd a livello locale per popolare la directory LDAP, non è necessario usare la direttiva rootpw. |
13.4.2. La directory /etc/openldap/schema/
La directory /etc/openldap/schema/ contiene definizioni LDAP, in precedenza situate nei file slapd.at.conf e slapd.oc.conf. Tutte le definizioni delle sintassi di attributi e le definizioni objectclass si trovano ora in file schema diversi. I vari file schema contenuti in /etc/openldap/slapd.conf vengono definiti mediante linee include, come mostrato in questo esempio:
slappasswd |
 | Attenzione |
|---|---|
Non modificate gli elementi schema definiti nei file schema installati da OpenLDAP. |
Potete estendere il file schema utilizzato da OpenLDAP per far sì che supporti tipi di attributi e object class servendosi dei file schema predefeniti a mo' di guida. Per farlo, create un file local.schema nella directory /etc/openldap/schema. Create un riferimento a questo nuovo schema Reference all'interno di slapd.conf aggiungendo la linea seguente sotto le vostre linee schema include predefinite:
chown -R ldap /var/lib/ldap |
Successivamente, definite i vostri nuovi tipi di attributi e gli object class all'interno del file local.schema. Molte organizzazioni prendono tipi di attribuiti e object class esistenti dai file schema installati per default e li modificano per poterli utilizzare nel file local.schema. Questo può essere utile per imparare la sintassi di schema riuscendo contemporanemente a soddisfare le esigenze immediate della propria organizzazione.
L'estensione di file schema per poter soddisfare determinati requisiti specifici non rientra negli argomenti trattati da questo capitolo. Per maggiori informazioni, visitate il sito http://www.openldap.org/doc/admin/schema.html.