使用 OpenLDAP 2.4 LDIF 配置後端

在 OpenLDAP 2.4 中，配置已移至名為cn=config. OpenLDAP 文件說“您永遠不應該直接編輯任何 LDIF 文件。配置更改應該通過 LDAP 操作執行……”但沒有提供任何進一步的細節。

有很多相互矛盾的資訊，更糟糕的是，發行版，如 Redhat Linux 和 Ubuntu，有特定的配置。

編輯日期有兩種方法cn=config：直接和間接。間接使用普通的 ldap 工具，例如 ldapmodify 和 ldapsearch，它們提供了最簡單和最合乎邏輯的方法。但是，許多發行版使用 SASL 將訪問權限限制為僅本地框上的 root 使用者。假設您有一個預配置的實例，您可以輕鬆更改：

啟用對 cn=config 的外部訪問

1. sudo -i/su -
2. 創建新密碼：

slappasswd

3. 複製結果，包括“{SSHA}”
4. 準備auth.ldif。替換olcRootPW為上一個命令中的密碼雜湊

dn: olcDatabase={0}config,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=admin,cn=config 
-
replace: olcRootPW
olcRootPW: {SSHA}jCMTRlz/iT4cw3CZno5z2PtCkJQbKrqK

5. 導入 LDIF：

ldapmodify -Y EXTERNAL -H ldapi:/// -f auth.ldif

6. 您現在可以使用任何 LDAP 客戶端進行外部連接（假設您可以訪問網路）。例如

ldapsearch -b cn=config -D cn=admin,cn=config -H ldap://myldapserver -W

7. 盡快配置 SSL！

直接模式

在直接模式下，您可以編輯 cn=config 數據庫（和任何其他數據庫），即使它slapd已關閉。這是通過使用slapadd和slapcat工具。您必須傳遞數據庫後綴。例如：

slapcat -b cn=config

恕我直言，當您知道需要應用的確切 LDIF 時，最好使用直接模式。我很少這樣做，所以我傾向於使用普通的 LDAP 工具來動態添加、替換和刪除配置。

引用自：https://serverfault.com/questions/518151