#
# Fichier de configuration du démon LDAP
#
# Il est utilisé par slapd, slurpd, ldif2ldbm, ldif2index, ldif2identry,
# et ldif2id2children.
#
# Voir slapd.conf(5) pour plus de détails sur les directives de
# configuration.
# Ce fichier ne doit pas être lisible par le monde (mode 600).
# OpenLDAP 1.2.x

#######################################################################
# Directives globales de configuration
#######################################################################

# Insertion de définitions d'objets standards.
# include <filename>
include		/etc/openldap/slapd.at.conf
include		/etc/openldap/slapd.oc.conf

# Définitions de schémas et d'objectClass pour NIS
#include		/etc/openldap/nis.at.conf
#include		/etc/openldap/nis.oc.conf
#include		/etc/openldap/others_nis.at.conf
#include		/etc/openldap/others_nis.oc.conf

# Définitions de schémas et d'objectClass pour le Roaming Netscape
#include		/etc/openldap/netscape_roaming.at.conf
#include		/etc/openldap/netscape_roaming.oc.conf

# Définition d'attributs.
# attribute <name> [<name2>] { bin | ces | cis | tel | dn }

# Définitions de classes d'objets
# objectclass <name> requires <attrs> allows <attrs>

# La vérification des schémas force les entrées à correspondre aux
# définitions de leur objectClass. off par défaut.
# schemacheck { on | off }
schemacheck	off

# Où les clients doivent se référer si aucune correspondance n'est trouvé
# localement. N'activer des référents qu'APRÈS avoir un annuaire local
# fonctionnel ET avoir compris l'usage des référents.
# referral <url>
#referral	ldap://root.openldap.org/

# Nombre maximum d'entrées à retourner en réponse à une opération de
# recherche. 500 par défaut.
# sizelimit <integer>
#sizelimit	100

# Durée maximum en secondes que slapd passera à répondre à une requête
# de recherche. 3600 par défaut.
# timelimit <integer>
#timelimit	600

# Où les fichier de processus sont placés.
# pidfile <filename>
pidfile		/var/run/slapd.pid
# argsfile <filename>
argsfile	/var/run/slapd.args

# Voir slapd.conf(5) pour les valeurs possibles.
# loglevel <integer>
loglevel	0

# Fichier srvtab dans lequel slapd peut trouver les clés Kerberos
# nécessaire à l'identification des clients utilisant Kerberos.
# /etc/srvtab par défaut.
# srvtab <filename>
#srvtab		/etc/openldap/srvtab

#######################################################################
# Directives générales des base de données
# La définition d'une base de données débute de la directive database
# à la prochaine directive database.
#######################################################################

# Type de base. ldbm est le standard par défaut.
# database { ldbm | shell | passwd }
database	ldbm

# Où la base de donnée de l'annuaire est physiquement située.
# Ce répertoire DOIT exister avant d'exécuter slapd ET ne doit être
# accessible que par slapd. Le mode 700 est recommandé.
directory	/var/lib/openldap

# Mode de création des fichiers de la base.
mode		0600

# La racine de votre annuaire
# suffix <dn suffix>
suffix		"dc=exemple,dc=fr"
#suffix		"o=Mon organisme,c=FR"

# L'identifiant du gestionnaire de l'annuaire.
# rootdn=<dn>
rootdn		"cn=Manager,dc=exemple,dc=fr"
#rootdn		"cn=Manager,o=Mon organisme,c=FR"

# Le mot de passe du gestionnaire de l'annuaire.
# Les mots de passe en clair, et particulièrement pour le rootdn,
# devrait être évité.  Voir slapd.conf(5) pour plus de détails.
# rootpw <motdepasse>
rootpw		secret

# DN autorisé à effectuer les modifications de réplication.
# C'est normalement le DN qu'utilise le démon slurpd de l'annuaire
# maître.
# updatedn <dn>
#updatedn	"cn=Replicateur,o=Mon organisme,c=FR"

# Indique à slapd si il doit maintenir automatiquement les attributs
# modifiersName, modifyTimestamp, creatorsName et createTimestamp pour
# chaque entrées de l'annuaire. off par defaut.
# lastmod { on | off }
lastmod		on

# Mets l'annuaire en lecture seule. off par défaut.
# readonly { on | off }

# Journal de réplication de l'annuaire LDAP.
# replogfile <filename>
replogfile	/var/lib/openldap/openldap.replog

# Hôte(s) de réplication de l'annuaire LDAP.
# replica host=<hostname>[:<port>] binddn="<dn>"
# 	bindmethod={ simple | kerberos } [credentials=<motdepasse>]
# 	[srvtab=<filename>]
#replica host=ldap-bak.exemple.fr binddn="cn=Replicator,dc=exemple,dc=fr"
#	bindmethod=simple credentials=secret

#######################################################################
# Directives spécifiques du backend ldbm
#######################################################################

# Répertoire de la base de données ldbm de l'annuaire.
# Ce répertoire DOIT exister avant d'exécuter slapd ET ne doit pas être
# accessible que par slapd. Le mode 700 est recommandé.
# /usr/tmp par défaut.
# directory <directory>
#directory	/var/lib/openldap

# Mode de protection des fichiers de la base de données.
# mode <integer>
#mode		0600

# Index à maintenir pour un attribut donné. Voir la documentation.
# index { <attrlist> | default } [ pres,eq,approx,sub,none ]
index		cn,sn,uid	pres,eq,approx,sub
index		objectClass	pres,eq
index		default		none
#index		cn
#index		sn,uid		eq,sub,approx

# Nombre d'entrées en mémoire cache. 1000 par défaut.
# cachesize <integer>
#cachesize	1000

# Taille en octets de la mémoire cache pour chaque index.
# 100000 par défaut.
# dbcachesize <integer>
#dbcachesize	100000

# Les modificatons ne doivent pas être immédiatement enregistrés dans la
# base de données. Amèliore les performances aux dépends de la sécurité.
#dbcachenowsync

#######################################################################
# Directives spécifiques du backend shell
#######################################################################

# Chemin d'accès aux utilitaires shell.
# command <pathname>
#bind		/usr/lib/openldap/bind.sh
#unbind		/usr/lib/openldap/unbind.sh
#search		/usr/lib/openldap/search.sh
#compare	/usr/lib/openldap/compare.sh
#modify		/usr/lib/openldap/modify.sh
#modrdn		/usr/lib/openldap/modrdn.sh
#add		/usr/lib/openldap/add.sh
#delete		/usr/lib/openldap/delete.sh
#abandon	/usr/lib/openldap/abandon.sh

#######################################################################
# Directives spécifiques du backend password
#######################################################################

# Fichier passwd à utiliser. /etc/passwd par défaut.
# file <filename>
#file		/etc/openldap/passwd

#######################################################################
# Directives des listes de contrôles d'accès (ACL)
#######################################################################

# Attention, l'ordre dans lequel sont définies les droits d'accès est
# EXTRÈMEMENT important.

# Par défaut, seul un accès en lecture est autorisé
# defaultaccess { none | compare | search | read | write }
defaultaccess	read

# Contrôles d'accès.
# access to <what> [ by <who> <accesslevel> ]+
# <what> ::= * | [ dn=<regex> ] [ filter=<ldapfilter> ]
#	[ attrs=<attrlist> ]
# <who> ::= * | self | dn=<regex> | addr=<regex> | domain=<regex> |
#	dnattr=<dn attribute>
# <acceslevel> ::= [self]none | [self]compare | [self]search |
#	[self]read | [self]write

# Le champ userPassword peut par défaut être changé par le propriètaire
# de l'entrée si il est identifié.
# Les autres ne doivent pas être capable de le voir, exception faite de
# l'administrateur.
access to attribute=userPassword
	by self write
	by dn="cn=Manager,dc=exemple,dc=fr" write
	by * none

# Pour le support du Netscape Roaming, chaque utilisateur obtient un profil
# de roaming dans lequel il a un accès en écriture.
access to dn=".*,ou=Roaming,dc=exemple,dc=fr"
	by dnattr=owner write

# L'administrateur a un droit d'accès complet en écriture.
access to *
	by self write
	by dn="cn=Manager,dc=exemple,dc=fr" write
	by * read

#
# Fin du fichier de configuration de slapd
#