home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / boot / i386 / rescue / etc / ldap.conf < prev    next >
Text File  |  2006-11-29  |  10KB  |  315 lines
  1. #
  2. # This is the configuration file for the LDAP nameservice
  3. # switch library and the LDAP PAM module.
  4. #
  5.  
  6. # Your LDAP server. Must be resolvable without using LDAP.
  7. # Multiple hosts may be specified, each separated by a 
  8. # space. How long nss_ldap takes to failover depends on
  9. # whether your LDAP client library supports configurable
  10. # network or connect timeouts (see bind_timelimit).
  11. host 127.0.0.1
  12.  
  13. # The distinguished name of the search base.
  14. base dc=example,dc=com
  15.  
  16. # Another way to specify your LDAP server is to provide an
  17. # uri with the server name. This allows to use
  18. # Unix Domain Sockets to connect to a local LDAP Server.
  19. #uri ldap://127.0.0.1/
  20. #uri ldaps://127.0.0.1/   
  21. #uri ldapi://%2fvar%2frun%2fldapi_sock/
  22. # Note: %2f encodes the '/' used as directory separator
  23.  
  24. # The LDAP version to use (defaults to 3
  25. # if supported by client library)
  26. #ldap_version 3
  27.  
  28. # The distinguished name to bind to the server with.
  29. # Optional: default is to bind anonymously.
  30. #binddn cn=proxyuser,dc=example,dc=com
  31.  
  32. # The credentials to bind with. 
  33. # Optional: default is no credential.
  34. #bindpw secret
  35.  
  36. # The distinguished name to bind to the server with
  37. # if the effective user ID is root. Password is
  38. # stored in /etc/ldap.secret (mode 600)
  39. #rootbinddn cn=manager,dc=example,dc=com
  40.  
  41. # The port.
  42. # Optional: default is 389.
  43. #port 389
  44.  
  45. # The search scope.
  46. #scope sub
  47. #scope one
  48. #scope base
  49.  
  50. # Search timelimit
  51. #timelimit 30
  52.  
  53. # Bind/connect timelimit
  54. #bind_timelimit 30
  55.  
  56. # Reconnect policy:
  57. #  hard_open: reconnect to DSA with exponential backoff if
  58. #             opening connection failed
  59. #  hard_init: reconnect to DSA with exponential backoff if
  60. #             initializing connection failed
  61. #  hard:      alias for hard_open
  62. #  soft:      return immediately on server failure
  63. bind_policy soft
  64.  
  65. # Connection policy:
  66. #  persist:   DSA connections are kept open (default)
  67. #  oneshot:   DSA connections destroyed after request
  68. #nss_connect_policy persist
  69.  
  70. # Idle timelimit; client will close connections
  71. # (nss_ldap only) if the server has not been contacted
  72. # for the number of seconds specified below.
  73. #idle_timelimit 3600
  74.  
  75. # Use paged rseults
  76. #nss_paged_results yes
  77.  
  78. # Pagesize: when paged results enable, used to set the
  79. # pagesize to a custom value
  80. #pagesize 1000
  81.  
  82. # Filter to AND with uid=%s
  83. #pam_filter objectclass=account
  84.  
  85. # The user ID attribute (defaults to uid)
  86. #pam_login_attribute uid
  87.  
  88. # Search the root DSE for the password policy (works
  89. # with Netscape Directory Server)
  90. #pam_lookup_policy yes
  91.  
  92. # Check the 'host' attribute for access control
  93. # Default is no; if set to yes, and user has no
  94. # value for the host attribute, and pam_ldap is
  95. # configured for account management (authorization)
  96. # then the user will not be allowed to login.
  97. #pam_check_host_attr yes
  98.  
  99. # Check the 'authorizedService' attribute for access
  100. # control
  101. # Default is no; if set to yes, and the user has no
  102. # value for the authorizedService attribute, and
  103. # pam_ldap is configured for account management
  104. # (authorization) then the user will not be allowed
  105. # to login.
  106. #pam_check_service_attr yes
  107.  
  108. # Group to enforce membership of
  109. #pam_groupdn cn=PAM,ou=Groups,dc=example,dc=com
  110.  
  111. # Group member attribute
  112. #pam_member_attribute uniquemember
  113.  
  114. # Specify a minium or maximum UID number allowed
  115. #pam_min_uid 0
  116. #pam_max_uid 0
  117.  
  118. # Template login attribute, default template user
  119. # (can be overriden by value of former attribute
  120. # in user's entry)
  121. #pam_login_attribute userPrincipalName
  122. #pam_template_login_attribute uid
  123. #pam_template_login nobody
  124.  
  125. # HEADS UP: the pam_crypt, pam_nds_passwd,
  126. # and pam_ad_passwd options are no
  127. # longer supported.
  128. #
  129. # Do not hash the password at all; presume
  130. # the directory server will do it, if
  131. # necessary. This is the default.
  132. #pam_password clear
  133.  
  134. # Hash password locally; required for University of
  135. # Michigan LDAP server, and works with Netscape
  136. # Directory Server if you're using the UNIX-Crypt
  137. # hash mechanism and not using the NT Synchronization
  138. # service. 
  139. #pam_password crypt
  140.  
  141. # Remove old password first, then update in
  142. # cleartext. Necessary for use with Novell
  143. # Directory Services (NDS)
  144. #pam_password nds
  145.  
  146. # RACF is an alias for the above. For use with
  147. # IBM RACF
  148. #pam_password racf
  149.  
  150. # Update Active Directory password, by
  151. # creating Unicode password and updating
  152. # unicodePwd attribute.
  153. #pam_password ad
  154.  
  155. # Use the OpenLDAP password change
  156. # extended operation to update the password.
  157. pam_password exop
  158.  
  159. # Redirect users to a URL or somesuch on password
  160. # changes.
  161. #pam_password_prohibit_message Please visit http://internal to change your password.
  162.  
  163. # Use backlinks for answering initgroups()
  164. #nss_initgroups backlink
  165.  
  166. # returns NOTFOUND if nss_ldap's initgroups() is called
  167. # for users specified in nss_initgroups_ignoreusers 
  168. # (comma separated)
  169. nss_initgroups_ignoreusers root,ldap
  170.  
  171. # Enable support for RFC2307bis (distinguished names in group
  172. # members)
  173. nss_schema rfc2307bis
  174.  
  175. # RFC2307bis naming contexts
  176. # Syntax:
  177. # nss_base_XXX        base?scope?filter
  178. # where scope is {base,one,sub}
  179. # and filter is a filter to be &'d with the
  180. # default filter.
  181. # You can omit the suffix eg:
  182. # nss_base_passwd    ou=People,
  183. # to append the default base DN but this
  184. # may incur a small performance impact.
  185. #nss_base_passwd    ou=People,dc=example,dc=com?one
  186. #nss_base_shadow    ou=People,dc=example,dc=com?one
  187. #nss_base_group        ou=Group,dc=example,dc=com?one
  188. #nss_base_hosts        ou=Hosts,dc=example,dc=com?one
  189. #nss_base_services    ou=Services,dc=example,dc=com?one
  190. #nss_base_networks    ou=Networks,dc=example,dc=com?one
  191. #nss_base_protocols    ou=Protocols,dc=example,dc=com?one
  192. #nss_base_rpc        ou=Rpc,dc=example,dc=com?one
  193. #nss_base_ethers    ou=Ethers,dc=example,dc=com?one
  194. #nss_base_netmasks    ou=Networks,dc=example,dc=com?ne
  195. #nss_base_bootparams    ou=Ethers,dc=example,dc=com?one
  196. #nss_base_aliases    ou=Aliases,dc=example,dc=com?one
  197. #nss_base_netgroup    ou=Netgroup,dc=example,dc=com?one
  198.  
  199. # attribute/objectclass mapping
  200. # Syntax:
  201. #nss_map_attribute    rfc2307attribute    mapped_attribute
  202. #nss_map_objectclass    rfc2307objectclass    mapped_objectclass
  203.  
  204. # configure --enable-nds is no longer supported.
  205. # NDS mappings
  206. nss_map_attribute uniqueMember member
  207.  
  208. # Services for UNIX 3.5 mappings
  209. #nss_map_objectclass posixAccount User
  210. #nss_map_objectclass shadowAccount User
  211. #nss_map_attribute uid msSFU30Name
  212. #nss_map_attribute uniqueMember msSFU30PosixMember
  213. #nss_map_attribute userPassword msSFU30Password
  214. #nss_map_attribute homeDirectory msSFU30HomeDirectory
  215. #nss_map_attribute homeDirectory msSFUHomeDirectory
  216. #nss_map_objectclass posixGroup Group
  217. #pam_login_attribute msSFU30Name
  218. #pam_filter objectclass=User
  219. #pam_password ad
  220.  
  221. # configure --enable-mssfu-schema is no longer supported.
  222. # Services for UNIX 2.0 mappings
  223. #nss_map_objectclass posixAccount User
  224. #nss_map_objectclass shadowAccount user
  225. #nss_map_attribute uid msSFUName
  226. #nss_map_attribute uniqueMember posixMember
  227. #nss_map_attribute userPassword msSFUPassword
  228. #nss_map_attribute homeDirectory msSFUHomeDirectory
  229. #nss_map_attribute shadowLastChange pwdLastSet
  230. #nss_map_objectclass posixGroup Group
  231. #nss_map_attribute cn msSFUName
  232. #pam_login_attribute msSFUName
  233. #pam_filter objectclass=User
  234. #pam_password ad
  235.  
  236. # RFC 2307 (AD) mappings
  237. #nss_map_objectclass posixAccount user
  238. #nss_map_objectclass shadowAccount user
  239. #nss_map_attribute uid sAMAccountName
  240. #nss_map_attribute homeDirectory unixHomeDirectory
  241. #nss_map_attribute shadowLastChange pwdLastSet
  242. #nss_map_objectclass posixGroup group
  243. #nss_map_attribute uniqueMember member
  244. #pam_login_attribute sAMAccountName
  245. #pam_filter objectclass=User
  246. #pam_password ad
  247.  
  248. # configure --enable-authpassword is no longer supported
  249. # AuthPassword mappings
  250. #nss_map_attribute userPassword authPassword
  251.  
  252. # AIX SecureWay mappings
  253. #nss_map_objectclass posixAccount aixAccount
  254. #nss_base_passwd ou=aixaccount,?one
  255. #nss_map_attribute uid userName
  256. #nss_map_attribute gidNumber gid
  257. #nss_map_attribute uidNumber uid
  258. #nss_map_attribute userPassword passwordChar
  259. #nss_map_objectclass posixGroup aixAccessGroup
  260. #nss_base_group ou=aixgroup,?one
  261. #nss_map_attribute cn groupName
  262. #nss_map_attribute uniqueMember member
  263. #pam_login_attribute userName
  264. #pam_filter objectclass=aixAccount
  265. #pam_password clear
  266.  
  267. # For pre-RFC2307bis automount schema
  268. #nss_map_objectclass automountMap nisMap
  269. #nss_map_attribute automountMapName nisMapName
  270. #nss_map_objectclass automount nisObject
  271. #nss_map_attribute automountKey cn
  272. #nss_map_attribute automountInformation nisMapEntry
  273.  
  274. # Netscape SDK LDAPS
  275. #ssl on
  276.  
  277. # Netscape SDK SSL options
  278. #sslpath /etc/ssl/certs
  279.  
  280. # OpenLDAP SSL mechanism
  281. # start_tls mechanism uses the normal LDAP port, LDAPS typically 636
  282. ssl start_tls
  283. #ssl on
  284.  
  285. # OpenLDAP SSL options
  286. # Require and verify server certificate (yes/no)
  287. # Default is to use libldap's default behavior, which can be configured in
  288. # /etc/openldap/ldap.conf using the TLS_REQCERT setting.  The default for
  289. # OpenLDAP 2.0 and earlier is "no", for 2.1 and later is "yes".
  290. #tls_checkpeer yes
  291.  
  292. # CA certificates for server certificate verification
  293. # At least one of these are required if tls_checkpeer is "yes"
  294. #tls_cacertfile /etc/ssl/ca.cert
  295. #tls_cacertdir /etc/ssl/certs
  296.  
  297. # Seed the PRNG if /dev/urandom is not provided
  298. #tls_randfile /var/run/egd-pool
  299.  
  300. # SSL cipher suite
  301. # See man ciphers for syntax
  302. #tls_ciphers TLSv1
  303.  
  304. # Client certificate and key
  305. # Use these, if your server requires client authentication.
  306. #tls_cert
  307. #tls_key
  308.  
  309. # Disable SASL security layers. This is needed for AD.
  310. #sasl_secprops maxssf=0
  311.  
  312. # Override the default Kerberos ticket cache location.
  313. #krb5_ccname FILE:/etc/.ldapcache
  314.  
  315.