OpenLDAP 2.4 鏈覆蓋最小 LDIF 配置

幾乎沒有關於如何在 OpenLDAP LDIF 後端配置鏈覆蓋的資訊。所需的最低配置是什麼？

解決此問題的唯一方法是將舊樣式配置文件轉換為 LDIF 樣式。這個節目的結構相當複雜，沒有很好的記錄。

該結構在前端創建 LDAP 數據庫條目以攔截引用者響應。

更複雜的是，模式驗證與 OpenLDAP 自己的配置要求衝突（olcDbURI 不能在第一個條目中使用）。要解決此問題，必須進行離線/直接修改，但請記住，強烈建議不要使用文本編輯器直接編輯 LDIF - 請參閱使用 OpenLDAP 2.4 LDIF 配置後端

如果您使用的是 Ubuntu/Debian，請確保載入back_ldap模組 -未找到 OpenLDAP 鏈

1. 創建“chainoverlay.ldif”：

dn: olcOverlay=chain,olcDatabase={-1}frontend,cn=config
objectClass: olcOverlayConfig
objectClass: olcChainConfig
olcOverlay: chain
olcChainCacheURI: FALSE
olcChainMaxReferralDepth: 1
olcChainReturnError: TRUE

2. 以 root 身份間接導入：

# ldapadd -Y EXTERNAL -H ldapi:/// -f chainoverlay.ldif

3. 創建“defaultldap.ldif”：

dn: olcDatabase=ldap,olcOverlay={0}chain,olcDatabase={-1}frontend,cn=config
objectClass: olcLDAPConfig
objectClass: olcChainDatabase
olcDatabase: ldap

4. 離線導入 defaultldap.ldif（這是為了解決架構驗證問題）：

# service slapd stop
# slapadd -b cn=config -l defaultldap.ldif

5. 修復一個奇怪的條目和權限：

# rm "/etc/ldap/slapd.d/cn=config/olcDatabase={-1}over.ldif"
# chown -R openldap:openldap "/etc/ldap/slapd.d/cn=config"

6. 開始拍打：

# service slapd start

7. 創建一個鍊式攔截配置——chainedserver.ldif：

dn: olcDatabase=ldap,olcOverlay={0}chain,olcDatabase={-1}frontend,cn=config
objectClass: olcLDAPConfig
objectClass: olcDatabaseConfig
objectClass: olcConfig
objectClass: top
objectClass: olcChainDatabase
olcDatabase: ldap
olcDbURI: ldap://areferredserver.com

引用自：https://serverfault.com/questions/518407