====== LDAP ======

===== authzFrom und authzTo =====

Mittels der Attribute **authzFrom** und **authzTo** ist man in der Lage, eine sogenannte //Proxy-Authentifizierung// durchzuführen. Damit ist die Möglichkeit gemeint, daß man sich gegen ein Objekt A anmeldet und authentifiziert, aber dann im Namen eines Objektes B arbeitet. Beispielhaft sei hier das Anmelden am Cyrus Mailstorage erwähnt. Die Anmeldung erfolgt von Postfix mit einem Proxy-User, aber die Mails werden schließlich als der entsprechende User übergeben.

Die Attribute **authzFrom** und **authzTo** werden nicht in der ''/etc/ldap/slapd.conf'' gesetzt, sondern direkt im DIT in den entsprechenden Objekten.

<code>
jt@bender:~$ ldapmodify -x -W -D "cn=admin,dc=lst,dc=lan"
Enter LDAP Password: 
dn: uid=mxproxy,ou=dsa,dc=lst,dc=lan
changetype: modify
add: saslAuthzTo
saslAuthzTo: dn.regex:uid=[^,]*,ou=People,dc=lst,dc=lan
modifying entry "uid=mxproxy,ou=dsa,dc=lst,dc=lan"
</code>

====== cn=config ======

Der slapd besitzt seit der Version 2.3 die Möglichkeit, seine eigene Konfiguration inkl. der Schema-Dateien selbst in ein ldap-kompatibles Format zu konvertieren. Vorteile dieses Verfahrens sind:
  * Änderungen an der Konfiguration //ohne// Neustart bzw. Unterbrechung des slapd
  * Die Konfiguration kann direkt auf anderes Server repliziert werden

===== Übernahme der alten Konfiguration =====
<code>mkdir -p /etc/ldap/slapd.d
/etc/init.d/slapd stop
slapd -f /etc/ldap/slapd.conf -F /etc/ldap/slapd.d/
chown openldap /etc/ldap/slapd.d -R
mv /etc/ldap/slapd.conf /etc/ldap/slapd.conf.old
</code>
In ''/etc/default/slapd'' folgende Änderung machen:
<code>SLAPD_CONF="/etc/ldap/slapd.d"</code>
Für den Zugriff auf die Konfiguration musss ggf. noch ein Passwort gesetzt werden. Dieses kann von Hand in der Datei ''/etc/ldap/slapd.d/cn=config/olcDatabase={0}config.ldif'' eingefügt werden:
<code>olcRootPW: {SSHA}x+xxc2HLsoyEB4TLdj6kjvHwF8NzzFW7</code>
Hier wird Beispielsweise das Passwort auf //12345// gesetzt. Nun noch den slapd wieder neu starten.
<code>/etc/init.d/slapd start</code>
Testen kann man nun die neue Konfiguration mit
<code>ldapsearch -x -D "cn=config" -b cn=config -W</code>
Nach der Eingabe des oben gesetzten Passwortes sollte man die Konfiguration, die jetzt selber aus dem LDAP kommt, sehen. Ab jetzt können allen Einstellungen ohne Neustart des Dienstes zu Laufzeiten mit den üblichen LDAP-Tools geändert werden.