Patrick Welche <prlw1@cam.ac.uk>
[netbsd-mini2440.git] / external / bsd / openldap / man / slapd-relay.5
blob0b0777bfba96ae5f439b20ed64764b7b9a3c8fb2
1 .TH SLAPD-RELAY 5 "2008/07/16" "OpenLDAP 2.4.11"
2 .SH NAME
3 slapd-relay \- relay backend to slapd
4 .SH SYNOPSIS
5 /etc/openldap/slapd.conf
6 .SH DESCRIPTION
7 The primary purpose of this
8 .BR slapd (8)
9 backend is to map a naming context defined in a database 
10 running in the same 
11 .BR slapd (8)
12 instance into a virtual naming context, with attributeType
13 and objectClass manipulation, if required.
14 It requires the
15 .BR slapo-rwm (5)
16 overlay.
17 .LP
18 This backend and the above mentioned overlay are experimental.
19 .SH CONFIGURATION
20 The following
21 .B slapd.conf
22 directives apply to the relay backend database.
23 That is, they must follow a "database relay" line and come before any
24 subsequent "backend" or "database" lines.
25 Other database options are described in the
26 .BR slapd.conf (5)
27 manual page; only the
28 .B suffix
29 directive is allowed by the 
30 .I relay
31 backend.
32 .TP
33 .B relay <real naming context>
34 The naming context of the database that is presented 
35 under a virtual naming context.
36 The presence of this directive implies that one specific database,
37 i.e. the one serving the
38 .BR "real naming context" ,
39 will be presented under a virtual naming context.
41 .SH MASSAGING
42 The
43 .B relay
44 database does not automatically rewrite the naming context
45 of requests and responses.
46 For this purpose, the
47 .BR slapo-rwm (5)
48 overlay must be explicitly instantiated, and configured
49 as appropriate.
50 Usually, the
51 .B rwm-suffixmassage
52 directive suffices if only naming context rewriting is required.
54 .SH ACCESS RULES
55 One important issue is that access rules are based on the identity
56 that issued the operation.
57 After massaging from the virtual to the real naming context, the
58 frontend sees the operation as performed by the identity in the
59 real naming context.
60 Moreover, since
61 .B back-relay
62 bypasses the real database frontend operations by short-circuiting
63 operations through the internal backend API, the original database
64 access rules do not apply but in selected cases, i.e. when the
65 backend itself applies access control.
66 As a consequence, the instances of the relay database must provide
67 own access rules that are consistent with those of the original
68 database, possibly adding further specific restrictions.
69 So, access rules in the
70 .B relay
71 database must refer to identities in the real naming context.
72 Examples are reported in the EXAMPLES section.
74 .SH SCENARIOS
75 .LP
76 If no
77 .B relay
78 directive is given, the 
79 .I relay
80 database does not refer to any specific database, but the most
81 appropriate one is looked-up after rewriting the request DN
82 for the operation that is being handled.
83 .LP
84 This allows to write carefully crafted rewrite rules that
85 cause some of the requests to be directed to one database, and
86 some to another; e.g., authentication can be mapped to one 
87 database, and searches to another, or different target databases
88 can be selected based on the DN of the request, and so.
89 .LP
90 Another possibility is to map the same operation to different 
91 databases based on details of the virtual naming context,
92 e.g. groups on one database and persons on another.
93 .LP
94 .SH EXAMPLES
95 To implement a plain virtual naming context mapping
96 that refers to a single database, use
97 .LP
98 .nf
99   database                relay
100   suffix                  "dc=virtual,dc=naming,dc=context"
101   relay                   "dc=real,dc=naming,dc=context"
102   overlay                 rwm
103   rwm-suffixmassage       "dc=real,dc=naming,dc=context"
106 To implement a plain virtual naming context mapping
107 that looks up the real naming context for each operation, use
110   database                relay
111   suffix                  "dc=virtual,dc=naming,dc=context"
112   overlay                 rwm
113   rwm-suffixmassage       "dc=real,dc=naming,dc=context"
116 This is useful, for instance, to relay different databases that
117 share the terminal portion of the naming context (the one that
118 is rewritten).
120 To implement the old-fashioned suffixalias, e.g. mapping
121 the virtual to the real naming context, but not the results
122 back from the real to the virtual naming context, use
125   database                relay
126   suffix                  "dc=virtual,dc=naming,dc=context"
127   relay                   "dc=real,dc=naming,dc=context"
128   overlay                 rwm
129   rwm-rewriteEngine       on
130   rwm-rewriteContext      default
131   rwm-rewriteRule         "dc=virtual,dc=naming,dc=context"
132                           "dc=real,dc=naming,dc=context" ":@"
133   rwm-rewriteContext      searchFilter
134   rwm-rewriteContext      searchEntryDN
135   rwm-rewriteContext      searchAttrDN
136   rwm-rewriteContext      matchedDN
139 Note that the 
140 .BR slapo-rwm (5)
141 overlay is instantiated, but the rewrite rules are written explicitly,
142 rather than automatically as with the
143 .B rwm-suffixmassage
144 statement, to map all the virtual to real naming context data flow,
145 but none of the real to virtual.
147 Access rules:
150   database                bdb
151   suffix                  "dc=example,dc=com"
152   # skip...
153   access to dn.subtree="dc=example,dc=com"
154           by dn.exact="cn=Supervisor,dc=example,dc=com" write
155           by * read
157   database                relay
158   suffix                  "o=Example,c=US"
159   relay                   "dc=example,dc=com"
160   overlay                 rwm
161   rwm-suffixmassage       "dc=example,dc=com"
162   # skip ...
163   access to dn.subtree="o=Example,c=US"
164           by dn.exact="cn=Supervisor,dc=example,dc=com" write
165           by dn.exact="cn=Relay Supervisor,dc=example,dc=com" write
166           by * read
169 Note that, in both databases, the identities (the 
170 .B <who> 
171 clause) are in the
172 .BR "real naming context" ,
173 i.e.
174 .BR "`dc=example,dc=com'" ,
175 while the targets (the 
176 .B <what> 
177 clause) are in the
178 .B real
179 and in the
180 .BR "virtual naming context" ,
181 respectively.
182 .SH ACCESS CONTROL
184 .B relay
185 backend does not honor any of the access control semantics described in
186 .BR slapd.access (5);
187 all access control is delegated to the relayed database(s).
188 Only
189 .B read (=r)
190 access to the
191 .B entry
192 pseudo-attribute and to the other attribute values of the entries
193 returned by the
194 .B search
195 operation is honored, which is performed by the frontend.
196 .SH FILES
198 /etc/openldap/slapd.conf
199 default slapd configuration file
200 .SH SEE ALSO
201 .BR slapd.conf (5),
202 .BR slapo-rwm (5),
203 .BR slapd (8).