http://www.ibm.com/developerworks/cn/education/linux/l-lpic3302/section2.html
编译并安装 OpenLDAP
本节讨论 Senior Level Linux Professional(LPIC-3)考试 301 的 302.1 主题的内容。这个主题的权值为 3。
在本节中,学习如何:
从源代码编译和配置 OpenLDAP
理解 OpenLDAP 后端数据库
管理 OpenLDAP 守护进程
排除安装期间的错误
OpenLDAP 是一个实现 LDAP 服务器和相关工具的开放源码应用程序。因为它是开放源码的,所以可以免费下载它的源代码。OpenLDAP 项目并不直接发布二进制代码,但是大多数主流的发行版都打包了二进制代码。在本教程中,学习如何从源代码和软件包安装 OpenLDAP。
从源代码编译
第一步是从项目站点下载 OpenLDAP 的最新版本(见 参考资料 中的下载链接)。这个项目通常有两个当前版本:一个是稳定版本,另一个是测试版本。本教程使用稳定版 2.3.30 和 2.3.38。如果按照本教程进行操作,一些目录名可能会随版本而变化。
为了从下载的文件中提取源代码,输入 tar -xzf openldap-stable-20070831.tgz。这会将下载的文件解压到一个目录中。用 cd openldap-2.3.38 命令进入这个新目录(根据需要替换您的 OpenLDAP 版本号)。
现在的位置在源代码目录中。现在必须配置系统的构建环境,然后构建这个软件。OpenLDAP 使用脚本 configure 执行这些操作。输入 ./configure --help 就可以看到可用的所有选项。一些选项定义安装文件的位置(比如 --prefix):其他选项定义希望安装的 OpenLDAP 特性。清单 1 列出特性及其默认设置。
清单 1. 与 OpenLDAP 特性相关的配置选项
SLAPD (Standalone LDAP Daemon) Options:
--enable-slapd enable building slapd [yes]
--enable-aci enable per-object ACIs (experimental) [no]
--enable-cleartext enable cleartext passwords [yes]
--enable-crypt enable crypt(3) passwords [no]
--enable-lmpasswd enable LAN Manager passwords [no]
--enable-spasswd enable (Cyrus) SASL password verification [no]
--enable-modules enable dynamic module support [no]
--enable-rewrite enable DN rewriting in back-ldap and rwm overlay [auto]
--enable-rlookups enable reverse lookups of client hostnames [no]
--enable-slapi enable SLAPI support (experimental) [no]
--enable-slp enable SLPv2 support [no]
--enable-wrappers enable tcp wrapper support [no]
SLAPD Backend Options:
--enable-backends enable all available backends no|yes|mod
--enable-bdb enable Berkeley DB backend no|yes|mod [yes]
--enable-dnssrv enable dnssrv backend no|yes|mod [no]
--enable-hdb enable Hierarchical DB backend no|yes|mod [yes]
--enable-ldap enable ldap backend no|yes|mod [no]
--enable-ldbm enable ldbm backend no|yes|mod [no]
--enable-ldbm-api use LDBM API auto|berkeley|bcompat|mdbm|gdbm [auto]
--enable-ldbm-type use LDBM type auto|btree|hash [auto]
--enable-meta enable metadirectory backend no|yes|mod [no]
--enable-monitor enable monitor backend no|yes|mod [yes]
--enable-null enable null backend no|yes|mod [no]
--enable-passwd enable passwd backend no|yes|mod [no]
--enable-perl enable perl backend no|yes|mod [no]
--enable-relay enable relay backend no|yes|mod [yes]
--enable-shell enable shell backend no|yes|mod [no]
--enable-sql enable sql backend no|yes|mod [no]
SLAPD Overlay Options:
--enable-overlays enable all available overlays no|yes|mod
--enable-accesslog In-Directory Access Logging overlay no|yes|mod [no]
--enable-auditlog Audit Logging overlay no|yes|mod [no]
--enable-denyop Deny Operation overlay no|yes|mod [no]
--enable-dyngroup Dynamic Group overlay no|yes|mod [no]
--enable-dynlist Dynamic List overlay no|yes|mod [no]
--enable-lastmod Last Modification overlay no|yes|mod [no]
--enable-ppolicy Password Policy overlay no|yes|mod [no]
--enable-proxycache Proxy Cache overlay no|yes|mod [no]
--enable-refint Referential Integrity overlay no|yes|mod [no]
--enable-retcode Return Code testing overlay no|yes|mod [no]
--enable-rwm Rewrite/Remap overlay no|yes|mod [no]
--enable-syncprov Syncrepl Provider overlay no|yes|mod [yes]
--enable-translucent Translucent Proxy overlay no|yes|mod [no]
--enable-unique Attribute Uniqueness overlay no|yes|mod [no]
--enable-valsort Value Sorting overlay no|yes|mod [no]
SLURPD (Replication Daemon) Options:
--enable-slurpd enable building slurpd [auto]
Optional Packages:
--with-PACKAGE[=ARG] use PACKAGE [ARG=yes]
--without-PACKAGE do not use PACKAGE (same as --with-PACKAGE=no)
--with-subdir=DIR change default subdirectory used for installs
--with-cyrus-sasl with Cyrus SASL support [auto]
--with-fetch with fetch(3) URL support [auto]
--with-threads with threads [auto]
--with-tls with TLS/SSL support [auto]
--with-yielding-select with implicitly yielding select [auto]
--with-odbc with specific ODBC support iodbc|unixodbc|auto [auto]
--with-gnu-ld assume the C compiler uses GNU ld [default=no]
--with-pic try to use only PIC/non-PIC objects [default=use
both]
--with-tags[=TAGS]
include additional configurations [automatic]
在清单 1 中,可以看到许多特性在默认情况下是禁用的,比如元目录和模块。另外,许多选项被标为 “auto”,如果系统上有适当的库,这些选项就会打开。最好不要依赖这种自动行为,而是明确建立所需特性的列表并启用它们。如果缺少任何库,就会在编译时收到错误消息,而不是在以后才发现。
一些配置选项可以传递 no、yes 或 mod。no 禁用这个选项,yes 将选项静态链接到最终的二进制代码,mod 将选项构建为单独的共享库。共享库在运行时装载到服务器中(参见下面的 “服务器参数(全局)”)。在默认情况下,模块是静态链接的;所以它们是二进制代码不可分割的组成部分。如果希望使用动态模块,那么还需要 --enable-modules 选项。动态模块的好处是可以在不修改二进制代码的情况下测试各种选项,而且可以单独打包模块。
清单 2 给出一个基于 Fedora 7 中的配置的配置行,它启用了许多有帮助的特性。所选的大多数选项将启用后面教程中需要的特性,比如 --enable-slurpd 和 --enable-multimaster(用于复制)和 --enable-meta(用于元目录)。其他选项启用各种后端,比如 ldab、bdb、null 和 monitor。
清单 2. 一个构建配置示例
./configure --enable-plugins --enable-modules --enable-slapd --enable-slurpd \
--enable-multimaster --enable-bdb --enable-hdb --enable-ldap --enable-ldbm \
--enable-ldbm-api=berkeley --enable-meta --enable-monitor --enable-null \
--enable-shell --enable-sql=mod --disable-perl \
--with-kerberos=k5only --enable-overlays=mod --prefix=/tmp/openldap
清单 2 启用了插件和多个后端,包括基于 Structured Query Language(SQL)的后端和 Berkeley Database 文件。后端是 OpenLDAP 存储和获取数据的方式,下面的 “后端和数据库” 和以后的教程会详细讨论后端。
清单 2 还构建单独的守护进程 slapd 和复制守护进程 slurpd。为了进行测试,还启用了覆盖,覆盖允许更容易地定制后端数据库。因为这是一个用于测试的设置,安装前缀被改为 /tmp/openldap,所以生成的二进制代码放在 /tmp/openldap/libexec 中。
当执行 configure 脚本时,它会检查所需的库,然后生成构建环境。如果 configure 成功完成,那么用 make depend; make 编译 OpenLDAP。
编译代码之后,可以用 make install 命令安装 OpenLDAP。这会把所有二进制代码、手册页和库复制到 /tmp/openldap 中的相应位置。
从包安装
您可能会觉得从源代码编译太麻烦。从源代码编译很耗费时间,而且如果缺少适当的开发库,那么会更棘手。如果您的 C 语言开发经验不足,那么可能无法理解构建错误消息的意思。幸运的是,大多数发行版打包了 OpenLDAP 的二进制代码,并预先进行了配置。这些二进制代码通常包含所需的所有特性。
基于 RPM 的发行版
Fedora 和 CentOS 使用 yum 工具安装来自存储库的 RedHat 软件包(RPM)。为了查明可用的包,应该使用 yum list 命令,还可以传递一个正则表达式来过滤返回的包列表。清单 3 搜索包含 openldap 这个单词的所有包。
清单 3. 查明可以通过 yum 获得哪些包
# yum list \*openldap\*
Loading "installonlyn" plugin
Setting up repositories
Reading repository metadata in from local files
Installed Packages
openldap.i386 2.3.30-2.fc6 installed
openldap-clients.i386 2.3.30-2.fc6 installed
openldap-devel.i386 2.3.30-2.fc6 installed
openldap-servers.i386 2.3.30-2.fc6 installed
openldap-servers-sql.i386 2.3.30-2.fc6 installed
Available Packages
compat-openldap.i386 2.3.30_2.229-2.fc6 updates
在 OpenLDAP 这样的大型应用程序中,客户机和服务器工具常常分成两个单独的包。另外,还可能找到一些兼容库(为了确保链接老版本软件的应用程序仍然可以正常工作)。安装包的方法是使用 yum install 和包的名称,比如 yum install openldap-clients openldap-servers;这会下载并安装客户机和服务器包以及所需的所有依赖关系。
对于 Red Hat Enterprise Linux,搜索 openldap 的包的命令是 up2date --showall | grep openldap。安装包的方法是将包名称作为参数传递给 up2date,比如 up2date openldap-clients openldap-servers。
使用 chkconfig ldap on 确保在系统引导时启动 OpenLDAP 服务器。
基于 Debian 的发行版
基于 Debian 的发行版(比如 Ubuntu)使用 Advanced Packaging(APT)工具安装包。首先,使用 apt-cache search openldap 命令搜索 OpenLDAP 包,见清单 4。
清单 4. 列出 Ubuntu Linux 中可用的 OpenLDAP 包
notroot@ubuntu:~$ apt-cache search openldap
libldap2 - OpenLDAP libraries
libldap2-dev - OpenLDAP development libraries
python-ldap - A LDAP interface module for Python. [dummy package]
python-ldap-doc - Documentation for the Python LDAP interface module
python2.4-ldap - A LDAP interface module for Python 2.4
ldap-utils - OpenLDAP utilities
libldap-2.2-7 - OpenLDAP libraries
slapd - OpenLDAP server (slapd)
清单 4 显示几个可用的包。slapd 包提供服务器,并在安装时解析所有依赖软件。运行 sudo apt-get install slapd 安装服务器。还可能需要 ldap-utils 包,这个包包含命令行客户机。
回页首
配置软件
安装 OpenLDAP 之后,必须配置它。为了进行测试,只需要指定几个设置;但是对于真实环境(和 LPIC 考试),必须充分了解各个选项。
有两个配置文件控制 OpenLDAP 的行为;这两个文件在默认情况下都放在 /etc/openldap/ 中。第一个文件是 ldap.conf,它控制 LDAP 客户机的全局行为。所有 LDAP 服务器的配置文件称为 slapd.conf。slapd.conf 还包含复制守护进程 slurpd 的配置。本文主要关注 slapd.conf,尤其是与 slapd 守护进程相关的部分。
slapd.conf 的格式很简单:一个关键字,后面是一个或多个参数,它们要符合以下条件:
关键字必须从 0 列开始 — 即,前面没有空格。
如果参数中有空格,那么这个参数必须加上双引号("")。
如果一行以空格开头,它就是前一行的延续。
关键字不是大小写敏感的,但是根据所用的关键字不同,参数可能是大小写敏感的。
与大多数 UNIX® 工具一样,hash 符号(#)表示注释。hash 符号后面的所有内容都被忽略。
slapd.conf 分成两部分:全局选项和后端数据库选项。尽管对于次序没有限制,但是必须注意放置指令的位置,因为一些指令会改变处理后续指令的上下文。例如,如果还没有遇到 backend 或 database 关键字,那么选项就是全局的。遇到 database 指令之后,所有后续选项都应用于这个数据库。这种情况一直持续到另一个 database 指令,此后的指令应用于新的数据库。
本系列后面的教程会讨论一些全局选项,比如用于访问控制和复制的选项。下面讨论常用的配置指令。
服务器参数(全局)
有几个参数限制 slapd 进程可以执行的操作,从而避免过度消耗资源。conn_max_pending 接受一个整数,这个数字表示任何时候未处理的匿名请求的最大数量。 本系列后面的教程会讨论对 LDAP 服务器的绑定;简单地说,在向服务器发出请求时,可以作为一个用户登录(经过身份验证的会话),也可以不使用任何凭证(匿名会话)。超过 conn_max_pending 限制的匿名请求会被服务器丢弃。conn_max_pending_auth 与 conn_max_pending 相似,但是它控制经过身份验证的会话。
idletimeout 参数(以秒为单位)告诉 slapd 空闲的客户机经过多长时间之后应该断开连接。如果这个数字是 0,那么不会断开连接。
sizelimit 参数限制一个查询可以返回的搜索结果数量,timelimit 限制服务器花费的搜索时间。这两个参数可以接受一个整数、关键字 unlimited 或更复杂的硬限制和软限制。这允许设置一个默认的(软)超时或结果集大小;但是,如果一个客户机请求大量行或更长的超时,可以允许它达到硬限制。例如,sizelimit sizesoft=400 size.hard=1000 指定在默认情况下返回 400 行。客户机可以请求将这个限制提高到最多 1,000 行。这个格式可以应用于用户组,这让一些用户或应用程序可以执行大搜索,而其他用户只能执行小搜索。
当客户机对树执行搜索时,常常指定一个开始搜索的节点(称为搜索基 或基)— 所有结果的区分名(DN)中都包含搜索基。这可以加快搜索速度(因为需要搜索的节点更少),而且使客户机的实现比较简单(因为只搜索树的一部分是一个简单且有效的过滤)。如果客户机没有指定搜索基,那么使用 defaultsearchbase 的值。设置这个参数可以避免配置错误的客户机造成问题。根据 LDAP 树的布局不同,可能希望使用用户的容器或树的根。(前一个教程 讨论了树和区分名。)
有三个命令控制服务器提供的各个特性,比如遗留支持和客户机的安全需求。这些命令是 allow、disallow 和 require。每个命令接受一系列关键字,分别启用、禁用或要求特性。表 3 列出这些关键字。
表 3. allow、disallow 和 require 使用的关键字
命令 关键字 说明 默认
allow bind_v2 如果设置了,就允许连接遗留的 LDAPv2 客户机。OpenLDAP 文档反复指出 OpenLDAP 实际上不支持 LDAPv2,所以某些请求可能导致出乎意料的行为。 Disallowed
allow bind_anon_cred 允许客户机在使用密码但是不使用 DN 的情况下执行绑定。如果允许这个选项,那么客户机就可以进行匿名绑定。 Disallowed
allow bind_anon_dn 允许客户机在使用 DN 但是不使用密码的情况下执行绑定,这常常是因为客户机的配置是错误的。如果允许这个选项,那么客户机就可以进行匿名绑定。 Disallowed
allow, disallow update_anon 允许匿名绑定,如果客户机在连接 LDAP 服务器时缺少 DN 或密码,就会发生匿名绑定。 Allowed
disallow bind_simple 允许简单的身份验证(未加密的用户名和密码)。否则,只能使用更严格的方法,比如 Simple Authentication and Security Layer(SASL)。 Allowed
require bind 要求客户机先用 bind 操作绑定到目录,然后才能执行其他操作。 Not required
require LDAPv3 决定是否需要 LDAPv3。注意,这与 allow bind_v2 相互冲突。 Not required
require authc 需要身份验证,这与匿名绑定相反。 Not required
require SASL 要求使用 SASL 方法连接服务器。 Not required
require strong 要求使用更严格的身份验证方法。这可以是 SASL 或通过受保护方法的简单身份验证。 Not required
require none 这个选项清除所有需求,通常在 slapd.conf 的数据库部分中使用这个命令放宽对某个数据库的需求。如果希望修改某个数据库的需求(而不是清除所有需求),那么在添加新需求之前必须使用 none,即使在全局部分中已经要求了这些需求。 Not applicable
即使表 3 中的一些命令允许某些登录类型,连接仍然会受到访问控制。例如,可能向匿名绑定授予对树的一部分的只读访问权。应该根据应用程序的性质和客户机的功能,决定如何允许或不允许各种身份验证方法。
如果希望维持比较高的可用性,那么应该启用 gentlehup。启用这个命令之后,当 slapd 收到 SIGHUP 信号时会停止监听网络,但是不会丢弃任何已经打开的连接。然后可以启动 slapd 的新实例,常常是使用一个更新的连接。
为了进行更详细的日志记录,可以调整 loglevel 的值。这个命令接受一个整数、多个整数或一系列关键字,这些数字和关键字为特定的功能启用日志记录。在 slapd.conf 的手册页中可以找到关键字和值的完整列表。例如,连接跟踪的值为 8,关键字是 conns,同步的值是 4096,关键字是 sync。logging 5004、logging 8 4096 或 logging conns sync 的作用都是同时为这两个特性启用日志记录。
如果从源代码编译 OpenLDAP,那么可以启用一些模块。也可以通过包管理器下载模块,比如 openldap-server-sql 包中包含 SQL 后端模块。modulepath 和 moduleload 选项用来将动态模块装载到 slapd 中。modulepath 指定包含共享库的目录(或目录列表),每个 moduleload 指定一个要装载的模块。不需要指定模块的版本号或扩展名,因为 slapd 会搜索共享库。例如,对于 back_sql-2.3.so.0.2.18 库,使用 moduleload back_sql。也可以在 moduleload 选项中指定库的完整路径(不带版本号和扩展名),比如moduleload /usr/share/openldap/back_sql。
一些脚本需要在某个文件中存储的进程 id。pidfile 告诉 slapd 将它的进程 id 写到哪里。
模式参数
一些命令可以在树中添加模式条目,这可以通过包含模式文件,也可以通过在 slapd.conf 中定义对象。正如 前面的教程 指出的,模式提供 LDAP 树可以使用的属性和对象类。
在服务器中添加新的模式文件的方法是使用 include 命令,在后面指定模式文件的完整路径(通常在 /etc/openldap/schema 中)。如果一个模式引用另一个模式(比如从 organizationalPerson 派生的 inetOrgPerson),就需要按正确的次序(基对象在前)包含所有必需的文件。OpenLDAP 会在包含每个模式时进行解析,所以包含的次序很重要。
可以通过 slapd.conf 直接添加模式条目,attributetype 和 objectclass 命令分别用来添加属性和对象。这么做的效果相当于把信息放在模式文件中并用 include 命令包含模式文件。还可以用 objectidentifier 定义对象标识符(OID)。
后端和数据库
后端和数据库是两个不同的概念,但是它们密切相关。数据库代表树的一部分,比如 dc=ertw,dc=com(本系列以 dc=ertw,dc=com 树作为主要示例)。后端表示 slapd 获取数据的方法。
在许多情况下,后端是硬盘上的一个文件 (采用某种格式;更多信息见下文);也可以是从另一个来源获取数据的方法,来源包括 SQL 数据库、DNS,甚至是通过脚本。每个数据库由一个后端处理,多个数据库可以使用相同的后端类型。
正如前面提到的,slapd.conf 首先包含全局指令。后端模式从 backend 指令的第一个实例开始。这个后端模式中的所有指令都应用于配置的特定后端。全局设置的所有选项也应用于后端,除非在后端级别覆盖了它们。同样,用 database 关键字配置数据库。一个数据库与一个后端类型相关联,继承所有全局或后端级别的配置。也可以在数据库级覆盖任何选项。
OpenLDAP 将后端分为三种类型:
存储数据的后端:
bdb — 使用 Berkeley 数据库引擎(比如现在属于 Oracle 的 Sleepycat)
hdb — 对 back-ldb 的一种改进,添加了一些索引改进
代理数据的后端:
ldap — 代理另一个 LDAP 服务器
meta — 对于树的不同部分,代理几个 LDAP 服务器
sql — 从一个 SQL 数据库返回数据
生成数据的后端:
dnssrv — 根据 DNS SRV 记录中的数据返回 LDAP 数据
monitor — 从 LDAP 服务器返回统计数据
null — 测试模式;不返回任何数据
passwd — 从密码文件返回数据
perl — 返回从 Perl 脚本生成的数据
shell — 返回从 shell 脚本生成的数据
每个后端都有相关的配置选项,可以在相关的手册页中找到这些选项(比如针对 bdb 后端的 slapd-bdb)。
数据库代表树及其数据。dc=ertw,dc=com 树是一个数据库示例。如果这个 DN 下面的所有数据属于同一个数据库,就以相似的方式存储。可能出现另一种情况:ou=people,dc=ertw,dc=com 存储在一个数据库中,dc=ertw,dc=com 中的其他数据存储在另一个数据库中。另外,一个 LDAP 服务器可以处理多个树,比如 dc=ertw,dc=com 和 dc=lpi,dc=org。每个数据库根据自己的后端以自己的方式处理请求。
通过指定 database 和数据库类型,启动数据库配置模式。常用的数据库形式是 Berkeley 数据库,所以 database bdb 创建一个 BDB 数据库。需要的下一个命令是 suffix,它指定数据库代表的树的根。
rootdn 和 rootpw 允许为数据库指定一个具有所有特权的用户(根用户)。这个用户甚至不受访问控制的影响。rootdn 应该在指定的后缀中,可以有也可以没有密码。如果指定了 rootpw,就使用它作为密码。否则,就要查看树中 rootdn 的记录并根据 userPassword属性执行身份验证。如果没有指定根用户,那么所有用户都受到访问控制。
如果指定 lastmod on,那么 OpenLDAP 会保存几个隐藏的属性(称为操作性属性(operational attribute)),比如创建记录的用户的名称和修改记录的时间。复制过程需要其中一些属性,所以最好启用 lastmod(这是默认设置)。除非专门请求,客户机上不显示这些操作性属性。
可以通过 restrict 命令进一步限制可以对数据库执行的操作。这个命令接受几个与 LDAP 操作对应的参数,比如add、bind、compare、 delete、rename 和 search。如果要禁止用户删除树中的节点,就使用 restrict delete。如果树包含用户,但是由于某种原因不希望允许他们绑定到这个树,那么使用 restrict bind。 另外,read 和 write 分别禁止对树的任何读和写,这样就不必明确指定所有相关操作。还可以使用 readonly 命令让数据库成为只读。
同一个树的不同部分可以由不同的数据库处理。如果配置得正确,OpenLDAP 会将所有部分组合在一起。包含其他数据库的数据库称为上级数据库(superior database);被包含的数据库称为从属数据库(subordinate database)。首先,定义从属数据库并在同一行上添加 subordinate 命令。然后定义上级数据库。通过采用这样的配置,OpenLDAP 就可以把多个数据库当作一个数据库,其中一部分数据是本地存储的,一些数据来自其他来源(一种特殊情况是所有数据都放在一个远程 LDAP 服务器上,这个服务器使用一个元目录)。注意,如果在从属数据库之前定义上级数据库,就会收到错误,错误消息指出这会重新定义树的结构。清单 5 将dc=ertw,dc=com 树划分成一个上级数据库和一个从属数据库。
清单 5. 从属数据库和上级数据库的配置
# Subordinate
database bdb
suffix "ou=people,dc=ertw, dc=com"
rootdn "cn=Sean Walberg,ou=people,dc=ertw,dc=com"
rootpw mysecret
directory /var/db/openldap/ertw-com-people
subordinate
# Superior
database bdb
suffix "dc=ertw, dc=com"
rootdn "cn=Sean Walberg,dc=ertw,dc=com"
rootpw mysecret
directory /var/db/openldap/ertw-com
还要注意,这里配置了两个 rootdn。如果要定义密码,rootdn 就必须在数据库的范围内。在构建这个树时,必须使用第二个根帐户定义 dc=ertw,dc=com 条目,使用第一个根帐户定义人员组织单元(OU)和它下面的所有对象。添加了用户之后,就可以作为另一个用户进行身份验证,获得对整个树的访问权。
如果使用 bdb 后端,那么还需要使用 directory 命令指定存储数据库文件的位置。每个数据库实例需要一个单独的目录。
设置新数据库是非常简单的,只需要使用几个命令。当需要调整后端时,会出现比较复杂的情况,这是本系列中下一个教程的主题。
覆盖
覆盖(overlay)是数据库的扩展。如果希望在数据库中添加一个特性,常常可以采用覆盖的形式,而不必修改数据库代码。例如,如果希望在日志中记录所有写操作,可以将 auditlog 覆盖附加到相关的数据库。
覆盖的操作方式像一个堆栈。在配置数据库之后,指定一个或多个数据库。然后,用 overlay 命令和覆盖名定义每个覆盖。每个覆盖有自己的配置参数。
如果配置了多个覆盖,那么它们按照与定义次序相反的次序运行。运行了所有覆盖之后,才会访问数据库。当数据库返回数据之后,以相同次序再次运行覆盖,然后 slapd 将数据返回到客户机。
在每一步中,一个覆盖可以执行一个操作(比如日志记录),它可以修改请求或响应,也可以停止处理。