OpenLDAP

Les index sont une notion essentielle pour la montée en charge de votre annuaire OpenLDAP. Il faut analyser les requêtes les plus courantes pour déterminer les index à utiliser. Il ne faut mettre trop d'index sous peine de consommer trop de mémoire.

# Indexing options for database #1
index           objectClass eq
index           cn eq
index           uid eq

Une fois la base créée, les index ne sont pas ajoutés automatiquement aux entrées existantes. Il faut lancer la commande $> slapindex afin de forcer la mise à jour des index par rapport à la configuration.

Attention, cette commande doit être lancé avec le même utilisateur que celui utiliser par le serveur OpenLDAP. Sinon vous allez au devant de problèmes de droits sur les fichiers BDB.

• http://www.openldap.org/faq/data/cache/42.html
• http://www.openldap.org/faq/data/cache/136.html

Ajouter les certificats au fichier de configuration de OpenLDAP

# TLS Security
TLSCertificateFile      /etc/ssl/cacert-ldap.crt
TLSCertificateKeyFile   /etc/ssl/cacert-ldap.key

Activer l'écouter sur le port SSL

# slapd normally serves ldap only on all TCP-ports 389. slapd can also
# service requests on TCP-port 636 (ldaps) and requests via unix
# sockets.
# Example usage:
SLAPD_SERVICES="ldap:/// ldaps:///"

Par défaut, les bibliothèques LDAP cliente (accès en ligne de commande, module PHP-LDAP…) vont faire une vérification sur la validité du certificat. Si votre certificat est autosigné cela ne fonctionnera pas, il faudra alors ajouter les lignes suivantes dans le fichier /etc/ldap/ldap.conf

# Permet d'eviter la verification du certificat server.
TLS_REQCERT never

Un utilitaire bien pratique (en Python) pour insérer des VCard dans un annuaire LDAP :

• http://www.cure.nom.fr/blog/archives/44-vcard2ldap-mise-a-jour-dun-serveur-LDAP-avec-un-fichier-vcard.html