slapd.conf

Die Konfigurationsdatei /etc/openldap/slapd.conf enthält unter anderem folgende Einstellungen:

Zugriffsrechte

Die Vergabe von Zugriffsrechten auf das LDAP-Verzeichnis wurde bereits unter LDAP im Abschnitt "Dedizierter Zugriff auf LDAP" beschrieben.

Das explizite Erteilen von Zugriffsrechten ist dabei recht einfach ("... by dn=... write"). Die Schwierigkeit besteht darin, daß mit der Erteilung von Schreibrechten keine Sicherheitslücken geöffnet werden dürfen.

Um beispielsweise das Anlegen von UNIX-Benutzern oder -Gruppen dem LDAP-Administrator alleine vorzubehalten, muß das Anlegen solcher Objekte im Ordner "contacts" verboten werden - dies geht nur, indem man das Auslesen der für diese Objekte typischen Attribute (Paßwörter, ID Nummern) unmöglich macht.

Auch dürfen innerhalb von Benutzer- und Gruppen-Objekten bestimmte systemkritische Attribute nicht verändert werden (ID Nummern, Paßwörter, Gruppen- und Benutzernamen).