← Back to branch summary

~ubuntu-branches/ubuntu/wily/openldap/wily-proposed

« back to all changes in this revision

Viewing changes to doc/man/man5/slapd-ldap.5

  • Committer: Package Import Robot
  • Author(s): Ryan Tandy
  • Date: 2015-05-25 19:49:21 UTC
  • mfrom: (0.3.29 sid)
  • Revision ID: package-import@ubuntu.com-20150525194921-uw209l8nhbau0c8p
Tags: 2.4.40+dfsg-1ubuntu1
https://launchpad.net/bugs/1395098
https://launchpad.net/bugs/1316124
https://launchpad.net/bugs/1392018
https://launchpad.net/bugs/1293250
* Merge from Debian testing (LP: #1395098, LP: #1316124). Remaining changes:
  - Enable AppArmor support:
    - d/apparmor-profile: add AppArmor profile
    - d/rules: use dh_apparmor
    - d/control: Build-Depends on dh-apparmor
    - d/slapd.README.Debian: add note about AppArmor
  - Enable GSSAPI support:
    - d/patches/gssapi.diff, thanks to Jerry Carter (Likewise):
      - Add --with-gssapi support
      - Make guess_service_principal() more robust when determining
        principal
    - d/configure.options: Configure with --with-gssapi
    - d/control: Added heimdal-dev as a build depend
  - Enable ufw support:
    - d/control: suggest ufw.
    - d/rules: install ufw profile.
    - d/slapd.ufw.profile: add ufw profile.
  - Enable nss overlay:
    - d/{patches/nssov-build,rules}: Apply, build and package the
      nss overlay.
  - d/{rules,slapd.py}: Add apport hook.
  - d/slapd.init.ldif: don't set olcRootDN since it's not defined in
    either the default DIT nor via an Authn mapping.
  - d/slapd.scripts-common:
    - add slapcat_opts to local variables.
    - Remove unused variable new_conf.
    - Fix backup directory naming for multiple reconfiguration.
  - d/{slapd.default,slapd.README.Debian}: use the new configuration style.
  - d/rules: Enable -DLDAP_CONNECTIONLESS to build CLDAP (UDP) support
    in the openldap library, as required by Likewise-Open
  - Show distribution in version:
    - d/control: added lsb-release
    - d/patches/fix-ldap-distribution.patch: show distribution in version
* Drop patches included upstream:
  - d/patches/0001-ITS-7430-GnuTLS-Avoid-use-of-deprecated-function.patch
  - d/patches/bdb-deadlock.patch
  - d/patches/its-7354-fix-delta-sync-mmr.diff
* Drop hardening-wrapper as Debian now sets PIE and bindnow flags.
* debian/patches/nssov-build: Adjust for upstream changes.
* debian/apparmor-profile:
  - Change 'r' to 'rw' for ldapi and nslcd sockets, required for apparmor
    kernel ABI v7 (utopic and later). (LP: #1392018)
  - Reduce permissions on /run/nslcd to just the nslcd socket.
* Enable the mdb backend again on ppc64el, fixed upstream in ITS#7713.
  (LP: #1293250)

Show diffs side-by-side

added added

removed removed

Lines of Context:
doc/man/man5/slapd-ldap.5
1
1
.TH SLAPD-LDAP 5 "RELEASEDATE" "OpenLDAP LDVERSION"
2
 
.\" Copyright 1998-2012 The OpenLDAP Foundation All Rights Reserved.
 
2
.\" Copyright 1998-2014 The OpenLDAP Foundation All Rights Reserved.
3
3
.\" Copying restrictions apply.  See COPYRIGHT/LICENSE.
4
4
.\" $OpenLDAP$
5
5
.SH NAME
40
40
The proxy instance of
41
41
.BR slapd (8)
42
42
must contain schema information for the attributes and objectClasses
43
 
used in filters, request DN and request-related data in general.
 
43
used in filters, request DNs and request-related data in general.
44
44
It should also contain schema information for the data returned
45
45
by the proxied server.
46
46
It is the responsibility of the proxy administrator to keep the schema
92
92
LDAP server to use.  Multiple URIs can be set in a single
93
93
.B ldapurl
94
94
argument, resulting in the underlying library automatically 
95
 
call the first server of the list that responds, e.g. 
 
95
calling the first server of the list that responds, e.g.
96
96
 
97
97
\fBuri "ldap://host/ ldap://backup\-host/"\fP
98
98
 
100
100
Whenever the server that responds is not the first one in the list,
101
101
the list is rearranged and the responsive server is moved to the head,
102
102
so that it will be first contacted the next time a connection
103
 
needs be created.
 
103
needs to be created.
104
104
.HP
105
105
.hy 0
106
106
.B acl\-bind
114
114
.B [tls_cacertdir=<path>]
115
115
.B [tls_reqcert=never|allow|try|demand]
116
116
.B [tls_ciphersuite=<ciphers>]
117
 
.B [tls_protocol_min=<version>]
 
117
.B [tls_protocol_min=<major>[.<minor>]]
118
118
.B [tls_crlcheck=none|peer|all]
119
119
.RS
120
120
Allows to define the parameters of the authentication method that is 
138
138
associated to this identity is cached regardless of the lifespan
139
139
of the client-proxy connection that first established it.
140
140
 
141
 
.B This identity is by no means implicitly used by the proxy 
 
141
.B This identity is not implicitly used by the proxy
142
142
.B when the client connects anonymously.
143
143
The
144
144
.B idassert\-bind
193
193
 
194
194
.TP
195
195
.B conn\-ttl <time>
196
 
This directive causes a cached connection to be dropped an recreated
 
196
This directive causes a cached connection to be dropped and recreated
197
197
after a given ttl, regardless of being idle or not.
198
198
 
199
199
.TP
232
232
Allows to define the parameters of the authentication method that is 
233
233
internally used by the proxy to authorize connections that are 
234
234
authenticated by other databases.
 
235
Direct binds are always proxied without any idassert handling.
 
236
 
235
237
The identity defined by this directive, according to the properties
236
238
associated to the authentication method, is supposed to have auth access 
237
239
on the target server to attributes used on the proxy for authentication
303
305
or a SASL bind as the
304
306
.I authcID
305
307
and assert the client's identity when it is not anonymous.
306
 
Direct binds are always proxied.
307
308
The other modes imply that the proxy will always either perform a simple bind 
308
309
as the
309
310
.IR authcDN
413
414
after it has been idle for the specified time.
414
415
 
415
416
.TP
 
417
.B keepalive  <idle>:<probes>:<interval>
 
418
The
 
419
.B keepalive
 
420
parameter sets the values of \fIidle\fP, \fIprobes\fP, and \fIinterval\fP
 
421
used to check whether a socket is alive;
 
422
.I idle
 
423
is the number of seconds a connection needs to remain idle before TCP
 
424
starts sending keepalive probes;
 
425
.I probes
 
426
is the maximum number of keepalive probes TCP should send before dropping
 
427
the connection;
 
428
.I interval
 
429
is interval in seconds between individual keepalive probes.
 
430
Only some systems support the customization of these values;
 
431
the
 
432
.B keepalive
 
433
parameter is ignored otherwise, and system-wide settings are used.
 
434
 
 
435
.TP
416
436
.B network\-timeout <time>
417
437
Sets the network timeout value after which
418
438
.BR poll (2)/ select (2) 
441
461
which corresponds to the empty result set.
442
462
 
443
463
.TP
 
464
.B onerr {CONTINUE|stop}
 
465
This directive allows to select the behavior in case an error is returned
 
466
by the remote server during a search.
 
467
The default, \fBcontinue\fP, consists in returning success.
 
468
If the value is set to \fBstop\fP, the error is returned to the client.
 
469
 
 
470
.TP
444
471
.B protocol\-version {0,2,3}
445
472
This directive indicates what protocol version must be used to contact
446
473
the remote server.
499
526
.TP
500
527
.B t\-f\-support {NO|yes|discover}
501
528
enable if the remote server supports absolute filters
502
 
(see \fIdraft-zeilenga-ldap-t-f\fP for details).
 
529
(see \fIRFC 4526\fP for details).
503
530
If set to
504
531
.BR discover ,
505
532
support is detected by reading the remote server's root DSE.