OpenLDAP:Configurando um LDAP Proxy

Neste artigo vamos configurar o servidor OpenLDAP de maneira que ele seja um proxy para outros servidores LDAP.

As vantagens desta abordagem são:


 * 1) Segurança - Ao colocar um servidor LPAP Proxy na DMZ, acessando o LDAP Corporativo, este servidor só possui metadados evitando crashs, além de facilitar a rastreabilidade (análise de logs).


 * 1) Reescrita de Queries LDAP - Muitos administradores temem expandir o schema dos seus servidores LDAP por medo de corromper o mesmo. Criando regras de reescrita podemos criar os campos necessários.

Exemplo
Neste exemplo o OpenLDAP está simulando o MS Active Directory, e apontando para o IBM Tivoli Directory Server (TDS)

Alterando o atributo de pesquisa memberOf por ibm-allGroups

Edite o arquivo slapd.conf,

database meta suffix o=empresa,c=br lastmod off uri    "ldap://192.168.1.10/o=empresa,c=br" acl-authcDN    "uid=AdminLDAP,ou=usuarios,o=empresa,c=br" acl-passwd     "adminPASSWORD" idle-timeout   600s map attribute memberOf ibm-allGroups
 * 1)  LDAP PROXY  SERVER

Arquivo slapd.conf completo
include        /etc/ldap/schema/core.schema include        /etc/ldap/schema/cosine.schema include        /etc/ldap/schema/inetorgperson.schema include        /etc/ldap/schema/nis.schema pidfile        /var/run/slapd/slapd.pid argsfile       /var/run/slapd/slapd.args logfile		/var/log/slapd.log loglevel 5 modulepath     /usr/lib/ldap moduleload   back_ldap.la moduleload    back_meta.la idletimeout     600 database meta suffix o=empresa,c=br lastmod off uri    "ldap://192.168.1.10/o=empresa,c=br" acl-authcDN    "uid=AdminLDAP,ou=usuarios,o=empresa,c=br" acl-passwd     "adminPASSWORD" idle-timeout   600s map attribute memberOf ibm-allGroups
 * 1) Schemas que devem ser carregados
 * 1) Schemas que devem ser carregados
 * 1) Arquivos de controle do OpenLDAP
 * 1) Arquivos de controle do OpenLDAP
 * 1) Nivel do log gerado pelo OpenLDAP
 * 1) Nivel do log gerado pelo OpenLDAP
 * 1) Modulos que devem ser carregados pelo servidor OpenLDAP
 * 1) Modulos que devem ser carregados pelo servidor OpenLDAP
 * 1) Load dynamic backend modules:
 * 1) moduleload   back_monitor.la
 * 1) Tempo de permanencia de uma conexao idle (sem trafego)
 * 1) Tempo de permanencia de uma conexao idle (sem trafego)
 * 1)  LDAP PROXY  SERVER