Linux am LSG:
Serverkonfiguration

  Administration / Linux / Domänen unter Linux / Windows Domäne mit LDAP / LDAP / Installation / slapd.conf  

# Siehe Manpage slapd.conf(5) und
# http://www.openldap.org/doc/admin/
### Schemadaten einbinden ###

include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/qmail.schema
include /etc/openldap/schema/samba.schema

### SSL-Zertifikat laden ###
TLSCertificateFile /etc/openldap/server.pem
TLSCertificateKeyFile /etc/openldap/server.pem
TLSCACertificateFile /etc/openldap/server.pem

### Falls SASL-Authentifizierung benutzt wird: ###
sasl-host linio.voll
sasl-realm VOLL

### Definition für die Datenbank ###
database ldbm
suffix "dc=voll"

#
# Der privilegierte Account darf in dieser Datenbank
# alles lesen und schreiben. Nicht zu verwechseln mit
# dem Sysuser root, der im Verzeichnis eingetragen
# ist und dem mit ACL seine Rechte zugewiesen werden
rootdn "cn=LdapRoot,dc=voll"
rootpw Geheim

#
# Das Verzeichnis *muss* existieren, bevor slapd
# gestartet wird und sollte nur für slapd lesbar sein
directory /var/lib/ldap

# Index Definition
index objectClass eq

### Definition der Access Control List (ACL) ###
# User darf eigene Attribute ändern,
# alle andere sehen nichts
access to attr=loginShell
by dn="uid=Admin,ou=Sysusers,ou=NSS,dc=voll" write
by self write
by * read
#
# User darf eigene Attribute ändern,
# authentifizierte User lesen
# alle andere sehen nichts
access to
attr=telephoneNumber,seeAlso,description,audio,businessCategory,carLicense,displayName,homePhone,homePostalAddress,jpegPhoto,labeledURI,mobile,pager,photo,homeTelephoneNumber,favouriteDrink
by dn="uid=Admin,ou=Sysusers,ou=NSS,dc=voll" write
by self write
by users read
by * none
#
# User darf eigene Attribute ändern,
# alle andere können lesen
access to attr=dc,o,ou,uid,cn,givenName,sn,gecos,initials,title,photo,mail
by dn="uid=Admin,ou=Sysusers,ou=NSS,dc=voll" write
by self write
by * read
#
# User darf eigene Passwörter ändern.
# anonymous auth macht nur für userPasswort Sinn,
# stört sonst aber nicht.
# Der Samba Server muss hier schreibrecht haben!
access to attr=userPassword,lmPassword,ntPassword
by dn="uid=Admin,ou=Sysusers,ou=NSS,dc=voll" write
by self write
by anonymous auth
by * none
##
## User darf eigene Attribute lesen,
## alle andere sehen nichts
#access to attr=accountStatus,mailQuota,registeredAddress
# by dn="uid=Admin,ou=Sysusers,ou=NSS,dc=voll" write
# by self read
# by * none
#
# Grundregel, damit anonyme User das Verzeichnis
# durchsuchen können
access to attr=entry,objectClass
by dn="uid=Admin,ou=Sysusers,ou=NSS,dc=voll" write
by * read
##
## Default Policy: wenn keine der oben angelegten
## Regeln zieht, dürfen authentifizierte User lesen
## und alle anderen sehen nichts.
#access to * by dn="uid=Admin,ou=Sysusers,ou=NSS,dc=voll" write
# by users read
# by * none
access to * by dn="uid=Admin,ou=Sysusers,ou=NSS,dc=voll" write
by users read
by * read