vfs_posixacl: catch ACL_EVERYONE on FreeBSD
[Samba.git] / docs-xml / manpages / idmap_ldap.8.xml
blob2c2c15dcef22103f42cfe188ab441a5d8dc29389
1 <?xml version="1.0" encoding="iso-8859-1"?>
2 <!DOCTYPE refentry PUBLIC "-//Samba-Team//DTD DocBook V4.2-Based Variant V1.0//EN" "http://www.samba.org/samba/DTD/samba-doc">
3 <refentry id="idmap_ldap.8">
5 <refmeta>
6         <refentrytitle>idmap_ldap</refentrytitle>
7         <manvolnum>8</manvolnum>
8         <refmiscinfo class="source">Samba</refmiscinfo>
9         <refmiscinfo class="manual">System Administration tools</refmiscinfo>
10         <refmiscinfo class="version">4.2</refmiscinfo>
11 </refmeta>
14 <refnamediv>
15         <refname>idmap_ldap</refname>
16         <refpurpose>Samba's idmap_ldap Backend for Winbind</refpurpose>
17 </refnamediv>
19 <refsynopsisdiv>
20         <title>DESCRIPTION</title>
22         <para>The idmap_ldap plugin provides a means for Winbind to
23         store and retrieve SID/uid/gid mapping tables in an LDAP directory
24         service.
25         </para>
27         <para>
28         In contrast to read only backends like idmap_rid, it is an allocating
29         backend: This means that it needs to allocate new user and group IDs in
30         order to create new mappings.
31         </para>
33 </refsynopsisdiv>
35 <refsect1>
36         <title>IDMAP OPTIONS</title>
38         <variablelist>
39                 <varlistentry>
40                 <term>ldap_base_dn = DN</term>
41                 <listitem><para>
42                         Defines the directory base suffix to use for
43                         SID/uid/gid mapping entries.  If not defined, idmap_ldap will default
44                         to using the &quot;ldap idmap suffix&quot; option from smb.conf.
45                 </para></listitem>
46                 </varlistentry>
48                 <varlistentry>
49                 <term>ldap_user_dn = DN</term>
50                 <listitem><para>
51                         Defines the user DN to be used for authentication.
52                         The secret for authenticating this user should be
53                         stored with net idmap secret
54                         (see <citerefentry><refentrytitle>net</refentrytitle>
55                         <manvolnum>8</manvolnum></citerefentry>).
56                         If absent, the ldap credentials from the ldap passdb configuration
57                         are used, and if these are also absent, an anonymous
58                         bind will be performed as last fallback.
59                 </para></listitem>
60                 </varlistentry>
62                 <varlistentry>
63                 <term>ldap_url = ldap://server/</term>
64                 <listitem><para>
65                         Specifies the LDAP server to use for
66                         SID/uid/gid map entries. If not defined, idmap_ldap will
67                         assume that ldap://localhost/ should be used.
68                 </para></listitem>
69                 </varlistentry>
71                 <varlistentry>
72                 <term>range = low - high</term>
73                 <listitem><para>
74                         Defines the available matching uid and gid range for which the
75                         backend is authoritative.
76                 </para></listitem>
77                 </varlistentry>
78         </variablelist>
79 </refsect1>
81 <refsect1>
82         <title>EXAMPLES</title>
84         <para>
85         The following example shows how an ldap directory is used as the
86         default idmap backend. It also configures the idmap range and base
87         directory suffix. The secret for the ldap_user_dn has to be set with
88         &quot;net idmap secret '*' password&quot;.
89         </para>
91         <programlisting>
92         [global]
93         idmap config * : backend      = ldap
94         idmap config * : range        = 1000000-1999999
95         idmap config * : ldap_url     = ldap://localhost/
96         idmap config * : ldap_base_dn = ou=idmap,dc=example,dc=com
97         idmap config * : ldap_user_dn = cn=idmap_admin,dc=example,dc=com
98         </programlisting>
100         <para>
101         This example shows how ldap can be used as a readonly backend while
102         tdb is the default backend used to store the mappings.
103         It adds an explicit configuration for some domain DOM1, that
104         uses the ldap idmap backend. Note that a range disjoint from the
105         default range is used.
106         </para>
108         <programlisting>
109         [global]
110         # "backend = tdb" is redundant here since it is the default
111         idmap config * : backend = tdb
112         idmap config * : range = 1000000-1999999
114         idmap config DOM1 : backend = ldap
115         idmap config DOM1 : range = 2000000-2999999
116         idmap config DOM1 : read only = yes
117         idmap config DOM1 : ldap_url = ldap://server/
118         idmap config DOM1 : ldap_base_dn = ou=idmap,dc=dom1,dc=example,dc=com
119         idmap config DOM1 : ldap_user_dn = cn=idmap_admin,dc=dom1,dc=example,dc=com
120         </programlisting>
121 </refsect1>
123 <refsynopsisdiv>
124         <title>NOTE</title>
126         <para>In order to use authentication against ldap servers you may
127         need to provide a DN and a password. To avoid exposing the password
128         in plain text in the configuration file we store it into a security
129         store. The &quot;net idmap &quot; command is used to store a secret
130         for the DN specified in a specific idmap domain.
131         </para>
132 </refsynopsisdiv>
134 <refsect1>
135         <title>AUTHOR</title>
137         <para>
138         The original Samba software and related utilities
139         were created by Andrew Tridgell. Samba is now developed
140         by the Samba Team as an Open Source project similar
141         to the way the Linux kernel is developed.
142         </para>
143 </refsect1>
145 </refentry>