Rollenname

Installiere OpenLDAP-Server

Anforderungen

FreeBSD 11/12, Debian 8(+?)

Rollenvariablen (Standard)

• openldap_schmas ([core, cosine, inetorgperson, nis]) LDAP-Schemata, die in die Konfiguration aufgenommen werden Wenn eine Datei in files/openldap/{{name}}.schema vorhanden ist, wird sie kopiert
• openldap_slave_rid (0) Wert für den Slave 'rid', geeignet für host_vars (muss einzigartig sein) Während der Rest der Konfiguration in Playbook oder group_vars einzigartig bleiben kann
• `slapd_rc_flags ("-h 'ldap:/// ldaps:///'")
• openldap_db_engine (mdb - hdb für OpenBSD)
• openldap_db_maxsize (1073741824)
• openldap_bases ([]) Liste der LDAP-Basis-Diktate Eine Basis kann haben: (slapd.conf-Syntax)
  • database (openldap_db_engine)
  • maxsize (openldap_db_maxsize) geschätzte Größe der Datenbank im RAM
  • rootdn ()
  • suffix ()
  • directory (openldap_datadir, systemabhängig) Du musst es definieren, wenn mehr als eine DB vorhanden ist
  • overlays ([]) Liste der Namen der Overlays (Modul wird bei Bedarf geladen) Das Hinzufügen von "syncrepl" hier macht einen Syncrepl-Master
  • includes ([]) Liste der einzuschließenden Dateien, relativer Pfad zu:
    • im Playbook: playbook/files/openldap/ für den Quellcode
    • Ziel: openldap_confdir/
  • slave: Dikt ( {}) Macht diesen Server zu einem Slave (Syncrepl-Protokoll)
    • rid (openldap_slave_rid) *
    • provider () *
    • searchbase (suffix)
    • binddn () *
    • credentials () *
    • bindmethod (einfach)
    • scope (sub)
    • schemachecking (ein)
    • type (refreshAndPersist)
    • retry ("60 10 120 +")
    • interval (00:00:00:15)
    • tls_cacert (ldap_tls_cacert)
    • updateref ()
  • indexes (["objectClass", "pres,eq"]) (+ ["entryUUID, entryCSN", "eq"] wenn Slave) Liste von Paare Attributname (,s…), Suchtypen "objectClass" und "entryUUID, entryCSN" (wenn Slave) werden immer hinzugefügt kann generiert werden mit:

grep ^index openldap/templates/slapd.conf.j2|sed 's/index *//; s/\([^ ]*\) *\([^ ]*\) *$/  - [ "\1", "\2" ]/'

TLS

• ldap_tls_cacert () Pfad zur CA-Zertifikatsdatei Wenn absolut (beginnt mit /), Pfad einer vorhandenen CA-Zertifikatsdatei (geteilt mit der ldap_client-Rolle)

Dateien sind relativ zu openldap/inventory_hostname für die Quelle gehen zu openldap_confdir/ssl/ am Ziel

• openldap_tls_cert () Wenn definiert, Name des Serverzertifikats
• openldap_tls_key () Wenn definiert, Name des Server-Schlüssels
• openldap_tls_cacert (ldap_tls_cacert) Pfad zu einer Datei, die nach openldap_confdir/ca.crt kopiert werden soll, überschreibt ldap_tls_cacert

Abhängigkeiten

Beispiel-Playbook

- hosts: servers
  roles:
    - criecm.openldap
  vars:
    openldap_schemas:
      - core
      - cosine
      - nis
      - inetorgperson
      - rfc2739
    ppolicy_default: cn=defppolicy,ou=policies,dc=at,dc=home
    openldap_bases:
      rootdn: cn=admin
      suffix: dc=at,dc=home
      includes: [ slapd.access ]
      overlays:
        - dynlist
        - ppolicy
        - smbk5pwd
      indexes:
        - [ "uid,uidNumber, gidNumber, memberUID", "pres,eq" ]
      slave:
        rid: 675
        provider: ldaps://master.ldap.univ.fr:636
        binddn: cn=bind,dc=dn
        credentials: bindpw
        bindmethod: simple
        

Lizenz

BSD