openldap

Название роли

Установка сервера openldap

Требования

FreeBSD 11/12, debian 8(+?)

Переменные роли (по умолчанию)

  • openldap_schemas ([core, cosine, inetorgperson, nis]) LDAP схемы для включения в конфигурацию. Если файл существует в files/openldap/{{name}}.schema, он будет скопирован.
  • openldap_slave_rid (0) значение для 'rid' слэйва, подходящее для host_vars (должно быть уникальным). Остальная часть конфигурации может оставаться уникальной в плейбуке или group_vars.
  • `slapd_rc_flags ("-h 'ldap:/// ldaps:///'")
  • openldap_db_engine (mdb - hdb для OpenBSD)
  • openldap_db_maxsize (1073741824)
  • openldap_bases ([]) Список баз LDAP. Одна база может иметь: (синтаксис slapd.conf)
    • database (openldap_db_engine)
    • maxsize (openldap_db_maxsize) предполагаемый размер базы данных в ОЗУ.
    • rootdn ()
    • suffix ()
    • directory (openldap_datadir, зависит от системы) это обязательно для определения, если больше одной базы данных.
    • overlays ([]) список названий оверлеев (модуль будет загружен при необходимости). Добавление "syncrepl" здесь делает мастер syncrepl.
    • includes ([]) Список файлов для включения, относительный путь к:
      • в плейбуке: playbook/files/openldap/ для источника.
      • место назначения: openldap_confdir/
    • slave: dict ({}) Делает этот сервер слэйвом (протокол syncrepl).
      • rid (openldap_slave_rid)
      • provider ()
      • searchbase (suffix)
      • binddn ()
      • credentials ()
      • bindmethod (simple)
      • scope (sub)
      • schemachecking (on)
      • type (refreshAndPersist)
      • retry ("60 10 120 +")
      • interval (00:00:00:15)
      • tls_cacert (ldap_tls_cacert)
      • updateref ()
    • indexes (["objectClass","pres,eq"]) (+ ["entryUUID,entryCSN","eq"] если слэйв) список пар имя_атрибута(,s…) тип_поиска(ов). "objectClass" и "entryUUID,entryCSN" (если слэйв) всегда будут добавляться. может быть сгенерировано с помощью:
grep ^index openldap/templates/slapd.conf.j2|sed 's/index *//; s/\([^ ]*\) *\([^ ]*\) *$/  - [ "\1", "\2" ]/'

TLS

  • ldap_tls_cacert () путь к файлу сертификата CA. если абсолютный (начинается с /), путь к существующему файлу сертификата CA (общий с ролью ldap_client).

Файлы относительны к openldap/inventory_hostname для источника. перейдите в openldap_confdir/ssl/ по назначению.

  • openldap_tls_cert () если определено, имя сертификата сервера.
  • openldap_tls_key () если определено, имя ключа сервера.
  • openldap_tls_cacert (ldap_tls_cacert) путь к файлу для копирования в openldap_confdir/ca.crt, переопределяет ldap_tls_cacert.

Зависимости

Пример плейбука

- hosts: servers
  roles:
    - criecm.openldap
  vars:
    openldap_schemas:
      - core
      - cosine
      - nis
      - inetorgperson
      - rfc2739
    ppolicy_default: cn=defppolicy,ou=policies,dc=at,dc=home
    openldap_bases:
      rootdn: cn=admin
      suffix: dc=at,dc=home
      includes: [ slapd.access ]
      overlays:
        - dynlist
        - ppolicy
        - smbk5pwd
      indexes:
        - [ "uid,uidNumber,gidNumber,memberUID", "pres,eq" ]
      slave:
        rid: 675
        provider: ldaps://master.ldap.univ.fr:636
        binddn: cn=bind,dc=dn
        credentials: bindpw
        bindmethod: simple
        

Лицензия

BSD

О проекте

openldap server

Установить
ansible-galaxy install criecm/ansible-role-openldap
Лицензия
Unknown
Загрузки
185
Владелец
Direction des Systèmes d'Information