← Back to branch summary

~ubuntu-branches/ubuntu/hardy/openldap2.3/hardy-updates

« back to all changes in this revision

Viewing changes to doc/man/man5/slapd-meta.5

  • Committer: Bazaar Package Importer
  • Author(s): Kees Cook
  • Date: 2008-07-31 16:06:53 UTC
  • mfrom: (16.1.3 hardy-proposed)
  • Revision ID: james.westby@ubuntu.com-20080731160653-np1dr19qfutmqb0v
Tags: 2.4.9-0ubuntu0.8.04.1
* SECURITY UPDATE: denial of service via broken BER decoding.
* Added debian/patches/security-ber-decoding.patch: upstream fixes.
* References
  CVE-2008-2952

Show diffs side-by-side

added added

removed removed

Lines of Context:
doc/man/man5/slapd-meta.5
1
1
.TH SLAPD-META 5 "RELEASEDATE" "OpenLDAP LDVERSION"
2
 
.\" Copyright 1998-2007 The OpenLDAP Foundation, All Rights Reserved.
 
2
.\" Copyright 1998-2008 The OpenLDAP Foundation, All Rights Reserved.
3
3
.\" Copying restrictions apply.  See the COPYRIGHT file.
4
4
.\" Copyright 2001, Pierangelo Masarati, All rights reserved. <ando@sys-net.it>
5
 
.\" $OpenLDAP: pkg/ldap/doc/man/man5/slapd-meta.5,v 1.46.2.7 2007/09/13 19:17:15 ando Exp $
 
5
.\" $OpenLDAP: pkg/ldap/doc/man/man5/slapd-meta.5,v 1.46.2.10 2008/04/14 22:46:48 quanah Exp $
6
6
.\"
7
7
.\" Portions of this document should probably be moved to slapd-ldap(5)
8
8
.\" and maybe manual pages for librewrite.
139
139
overridden by any per-target directive.
140
140
 
141
141
.TP
142
 
.B pseudoroot-bind-defer {NO|yes}
 
142
.B pseudoroot-bind-defer {YES|no}
143
143
This directive, when set to 
144
144
.BR yes ,
145
145
causes the authentication to the remote servers with the pseudo-root
146
146
identity to be deferred until actually needed by subsequent operations.
 
147
Otherwise, all binds as the rootdn are propagated to the targets.
147
148
 
148
149
.TP
149
150
.B quarantine <interval>,<num>[;<interval>,<num>[...]]
286
287
Target <target> must be defined.
287
288
 
288
289
.TP
 
290
.B idassert-authzFrom <authz-regexp>
 
291
if defined, selects what
 
292
.I local
 
293
identities are authorized to exploit the identity assertion feature.
 
294
The string
 
295
.B <authz-regexp>
 
296
follows the rules defined for the
 
297
.I authzFrom
 
298
attribute.
 
299
See 
 
300
.BR slapd.conf (5),
 
301
section related to
 
302
.BR authz-policy ,
 
303
for details on the syntax of this field.
 
304
 
 
305
.HP
 
306
.hy 0
 
307
.B idassert-bind
 
308
.B bindmethod=none|simple|sasl [binddn=<simple DN>] [credentials=<simple password>]
 
309
.B [saslmech=<SASL mech>] [secprops=<properties>] [realm=<realm>]
 
310
.B [authcId=<authentication ID>] [authzId=<authorization ID>]
 
311
.B [authz={native|proxyauthz}] [mode=<mode>] [flags=<flags>]
 
312
.B [tls_cert=<file>]
 
313
.B [tls_key=<file>]
 
314
.B [tls_cacert=<file>]
 
315
.B [tls_cacertdir=<path>]
 
316
.B [tls_reqcert=never|allow|try|demand]
 
317
.B [tls_ciphersuite=<ciphers>]
 
318
.B [tls_crlcheck=none|peer|all]
 
319
.RS
 
320
Allows to define the parameters of the authentication method that is 
 
321
internally used by the proxy to authorize connections that are 
 
322
authenticated by other databases.
 
323
The identity defined by this directive, according to the properties
 
324
associated to the authentication method, is supposed to have auth access 
 
325
on the target server to attributes used on the proxy for authentication
 
326
and authorization, and to be allowed to authorize the users.
 
327
This requires to have
 
328
.B proxyAuthz
 
329
privileges on a wide set of DNs, e.g.
 
330
.BR authzTo=dn.subtree:"" ,
 
331
and the remote server to have
 
332
.B authz-policy
 
333
set to
 
334
.B to
 
335
or
 
336
.BR both .
 
337
See
 
338
.BR slapd.conf (5)
 
339
for details on these statements and for remarks and drawbacks about
 
340
their usage.
 
341
The supported bindmethods are
 
342
 
 
343
\fBnone|simple|sasl\fP
 
344
 
 
345
where
 
346
.B none
 
347
is the default, i.e. no \fIidentity assertion\fP is performed.
 
348
 
 
349
The authz parameter is used to instruct the SASL bind to exploit 
 
350
.B native 
 
351
SASL authorization, if available; since connections are cached,
 
352
this should only be used when authorizing with a fixed identity
 
353
(e.g. by means of the 
 
354
.B authzDN
 
355
or
 
356
.B authzID
 
357
parameters).
 
358
Otherwise, the default
 
359
.B proxyauthz
 
360
is used, i.e. the proxyAuthz control (Proxied Authorization, RFC 4370)
 
361
is added to all operations.
 
362
 
 
363
The supported modes are:
 
364
 
 
365
\fB<mode> := {legacy|anonymous|none|self}\fP
 
366
 
 
367
If 
 
368
.B <mode>
 
369
is not present, and 
 
370
.B authzId
 
371
is given, the proxy always authorizes that identity.
 
372
.B <authorization ID>
 
373
can be 
 
374
 
 
375
\fBu:<user>\fP
 
376
 
 
377
\fB[dn:]<DN>\fP
 
378
 
 
379
The former is supposed to be expanded by the remote server according 
 
380
to the authz rules; see
 
381
.BR slapd.conf (5)
 
382
for details.
 
383
In the latter case, whether or not the 
 
384
.B dn:
 
385
prefix is present, the string must pass DN validation and normalization.
 
386
 
 
387
The default mode is 
 
388
.BR legacy ,
 
389
which implies that the proxy will either perform a simple bind as the
 
390
.I authcDN
 
391
or a SASL bind as the
 
392
.I authcID
 
393
and assert the client's identity when it is not anonymous.
 
394
Direct binds are always proxied.
 
395
The other modes imply that the proxy will always either perform a simple bind 
 
396
as the
 
397
.IR authcDN
 
398
or a SASL bind as the
 
399
.IR authcID ,
 
400
unless restricted by
 
401
.BR idassert-authzFrom
 
402
rules (see below), in which case the operation will fail;
 
403
eventually, it will assert some other identity according to
 
404
.BR <mode> .
 
405
Other identity assertion modes are
 
406
.BR anonymous
 
407
and
 
408
.BR self ,
 
409
which respectively mean that the 
 
410
.I empty 
 
411
or the 
 
412
.IR client 's 
 
413
identity
 
414
will be asserted;
 
415
.BR none ,
 
416
which means that no proxyAuthz control will be used, so the
 
417
.I authcDN
 
418
or the
 
419
.I authcID
 
420
identity will be asserted.
 
421
For all modes that require the use of the
 
422
.I proxyAuthz 
 
423
control, on the remote server the proxy identity must have appropriate 
 
424
.I authzTo
 
425
permissions, or the asserted identities must have appropriate
 
426
.I authzFrom 
 
427
permissions.  Note, however, that the ID assertion feature is mostly 
 
428
useful when the asserted identities do not exist on the remote server.
 
429
 
 
430
Flags can be
 
431
 
 
432
\fBoverride,[non-]prescriptive\fP
 
433
 
 
434
When the 
 
435
.B override
 
436
flag is used, identity assertion takes place even when the database
 
437
is authorizing for the identity of the client, i.e. after binding
 
438
with the provided identity, and thus authenticating it, the proxy
 
439
performs the identity assertion using the configured identity and
 
440
authentication method.
 
441
 
 
442
When the
 
443
.B prescriptive
 
444
flag is used (the default), operations fail with
 
445
\fIinappropriateAuthentication\fP
 
446
for those identities whose assertion is not allowed by the
 
447
.B idassert-authzFrom
 
448
patterns.
 
449
If the 
 
450
.B non-prescriptive
 
451
flag is used, operations are performed anonymously for those identities 
 
452
whose assertion is not allowed by the
 
453
.B idassert-authzFrom
 
454
patterns.
 
455
 
 
456
The TLS settings default to the same as the main slapd TLS settings,
 
457
except for
 
458
.B tls_reqcert
 
459
which defaults to "demand".
 
460
 
 
461
The identity associated to this directive is also used for privileged
 
462
operations whenever \fBidassert-bind\fP is defined and \fBacl-bind\fP
 
463
is not.  See \fBacl-bind\fP for details.
 
464
.RE
 
465
 
 
466
.TP
289
467
.B idle-timeout <time>
290
468
This directive causes a cached connection to be dropped an recreated
291
469
after it has been idle for the specified time.