V debianu se nainstaluje slapd a ldap-utils. Pri konfiguraci slapd se debconf pta na heslo.

V /etc/ldap/slapd.conf je konfigurace serveru, v /etc/ldap/ldap.conf je konfigurace klientskych nastroju (tu je potreba upravit urcite, na spravnou domenu a URL serveru).

Do konfigurace serveru je naprosto jiste potreba pridat nejake indexy, treba:

  index           mail            eq
  index           cn,sn,uid       pres,eq,approx,sub

Prvni je kvuli tomu, aby se dalo rozumne hledat podle mailu (coz je uzitecne pro pouziti jako adresar pro Evolution/Utlouk/whatever). Druhe je hledani podle loginu a teoreticky jmen (to mi z evolution nechce fungovat, ale to asi zatim neni podstatne)

Tohle neni potreba delat predem, da se klidne pridavat dodatecne, potom je potreba:

  * /etc/init.d/slapd stop
  * sudo -u openldap slapindex
  * /etc/init.d/slapd start

Pote co to je nainstalovano a bezito je potreba tam nacpat nejaky obsah:

  ldapadd -D "cn=admin,dc=dfox,dc=org" -W -x
  
V prvni rade nejake OU ("Adresare"):

  dn: ou=People,dc=dfox,dc=org
  ou: People
  objectClass: organizationalUnit

Dokument o schematech: http://www.skills-1st.co.uk/papers/ldap-schema-design-feb-2005/ldap-schema-design-feb-2005.html

Pro vytvareni novych vlastnich atributu je potreba mit prideleny nejaky OID. Prideluje budto IANA v private enterprise arcu, nebo je nekde RFC jak vygenerovat OID z UUID. OID pro nas muze teoreticky byt: 1.3.6.1.4.1.35864.113 (iso.org.dod.internet.private.enterprise.alesHakl.panelNet)

Neni zadna rozumna toola na generovani obsahu databaze, ovsem to nevadi, pokud tem slap* da clovek misto DB prazdny adresar, tak si tam vyrobi prazdnou databazi. Takze postup:

  * nainstalovat slapd
  * /etc/init.d/slapd stop
  * zmenit konfiguraci (hlavne BaseDN, debconf se z nejakeho duvodu pta jenom nekdy)
  * rm -rf /var/lib/ldap/*
  * sudo -u openldap slapadd < obsah.ldif
  * /etc/init.d/slapd start

obsah.ldif je to co v tom adresari ma byt, teda neco jako:

  dn: dc=example,dc=net
  objectClass: top
  objectClass: dcObject
  objectClass: organization
  o: example.net
  dc: example
  structuralObjectClass: organization
  
  dn: cn=admin,dc=example,dc=net
  objectClass: simpleSecurityObject
  objectClass: organizationalRole
  cn: admin
  description: LDAP Administrator
  userPassword:: sdhgeX.........dsf==
  
  dn: ou=People,dc=example,dc=net
  objectClass: organizationalUnit
  objectClass: top
  ou: People
  structuralObjectClass: organizationalUnit

Trik jak to vyrobit: pred tim nez puvodni databzi vygenerovanou debconfu smazu, tak vydumpovat pres slapcat a prepsat ty dn a dc. V tom co vyrobi debconf jsou nejake atrobuty navic, ale ty princialne maji jenom administrativni vyznam a rekl, bych, ze si je tam slapd stejne prida sam.

Je to BerkeleyDB, takze je asi dobry napad vsechny slap<neco> poustet pod stejnym uzivatelem jako bezi slapd. slapadd a slapcat by se pravdepodobne mel dat pouzivat i za behu slapd, ale u takovehle operace bych to nezkousel.

Zalohovani: z cronu spoustet slapcat a vystup nekam ukladat.

Lepsi howto (i se sambou): http://linuxwiki.riverworth.com/index.php?title=LDAP_Authentication