Mittels der Attribute authzFrom und authzTo ist man in der Lage, eine sogenannte Proxy-Authentifizierung durchzuführen. Damit ist die Möglichkeit gemeint, daß man sich gegen ein Objekt A anmeldet und authentifiziert, aber dann im Namen eines Objektes B arbeitet. Beispielhaft sei hier das Anmelden am Cyrus Mailstorage erwähnt. Die Anmeldung erfolgt von Postfix mit einem Proxy-User, aber die Mails werden schließlich als der entsprechende User übergeben.

Die Attribute authzFrom und authzTo werden nicht in der /etc/ldap/slapd.conf gesetzt, sondern direkt im DIT in den entsprechenden Objekten.

jt@bender:~$ ldapmodify -x -W -D "cn=admin,dc=lst,dc=lan"
Enter LDAP Password: 
dn: uid=mxproxy,ou=dsa,dc=lst,dc=lan
changetype: modify
add: saslAuthzTo
saslAuthzTo: dn.regex:uid=[^,]*,ou=People,dc=lst,dc=lan
modifying entry "uid=mxproxy,ou=dsa,dc=lst,dc=lan"

mkdir -p /etc/ldap/slapd.d
/etc/init.d/slapd stop
slapd -f /etc/ldap/slapd.conf -F /etc/ldap/slapd.d/
chown openldap /etc/ldap/slapd.d -R
mv /etc/ldap/slapd.conf /etc/ldap/slapd.conf.old

In /etc/default/slapd folgende Änderung machen:

SLAPD_CONF="/etc/ldap/slapd.d"

/etc/init.d/slapd start