Я хотел бы узнать, как настроить OpenLDAP (2.4), чтобы развернуть его в системе Ubuntu 10.04 LTS. поскольку slapd.conf использование устарело, я пытаюсь лучше понять, как использовать cn=config формат. К сожалению, я нахожу cn=config модель довольно запутанная.
Что меня особенно беспокоит, так это возможность комментировать (на обычном английском) и группировать параметры, а также комментировать варианты, которые я пробую.
Мне уже удалось успешно настроить некоторые параметры OpenLDAP (например, использование SSL / TLS), но изначально я полагался на slaptest -f ... -F ... сделать преобразование. Это нормально, но мне трудно понять, какая часть начального slapd.conf файл определяет, какая часть cn=config каталог и что важно при объединении различных опций в окончательной конфигурации.
Другая проблема, связанная с этим, - это возможность отменить неправильно настроенный параметр, закомментировав его. Может быть, это плохая привычка, но я считаю удобным иметь возможность опробовать какую-либо опцию, а затем отключить ее, если она не совсем правильная. Экспериментируя с slaptest подходит для небольших индивидуальных тестов, но меня беспокоит возможность отката и изменения конфигурации после того, как она будет реализована cn=config.
Например, даже на производственном сервере, если я получу параметр конфигурации (например, Alias запись) в Apache Httpd неправильно, я могу быстро вернуться в файл конфигурации, отредактировать его, перезагрузить, и общая существующая конфигурация не развалится. Пока что я обнаружил, что копаясь в cn=config исправить что-то было несколько утомительнее. Это особенно актуально, если мне нужно настроить ACL, не обязательно после ошибок, но потому что некоторые требования будут изменены.
Как следует использовать параметры OpenLDAP (используя cn=config) должны быть организованы / прокомментированы так, чтобы быть понятными для человека (эквивалентно простым комментариям), и каковы обычные методы отмены неправильных попыток (эквивалентно комментированию)?
Вы не можете комментировать записи в cn=config, просто удалив / повторно вставив их, по крайней мере, не с помощью операций LDAP. Но, если по какой-то причине вы добавили параметр конфигурации, который делает сервер недоступным, обычно достаточно остановить slapd, войти в /etc/ldap/slapd.d/cn=config и отредактируйте ошибку в одном из файлов LDIF ниже этого каталога, потому что это все cn=config на самом деле: набор файлов LDIF с некоторой метаинформацией.
Теоретически вы также можете сделать это, чтобы закомментировать записи, но я считаю это очень плохой практикой, но я использую тот факт, что это только текстовые файлы, и добавляю их в hg репозиторий. В случае ошибки могу просто вернуться к рабочей ревизии (пока slapd остановлено, конечно).
Хотя обычный синтаксис файла конфигурации устарел, я не думаю, что будет плохой идеей работать с ним, пока вы не закончите работу с конфигурацией и не преобразуете ее в cn=config только потом.
Если вы к нему привыкнете, новый метод бесценен, поскольку он позволяет очень быстро изменять конфигурацию без простоев для перезапуска службы.
Что касается компоновки cn=config дерево, я бы посоветовал прочитать документация по теме.