Merge branch 'master' of ctdb into 'master' of samba
[kai/samba-autobuild/.git] / examples / LDAP / samba-schema-FDS.ldif
1 ## schema file for Fedora/RedHat Directory Server
2 ##
3 ## NOTE: this file can be copied as 60samba.ldif into your instance schema
4 ## directory:
5 ## cp samba-schema-FDS.ldif /etc/dirsrv/slapd-<instance-name>/schema/60schema.ldif
6 ##
7 ## Schema for storing Samba user accounts and group maps in LDAP
8 ## OIDs are owned by the Samba Team
9 ##
10 ## Prerequisite schemas - uid         (cosine.schema)
11 ##                      - displayName (inetorgperson.schema)
12 ##                      - gidNumber   (nis.schema)
13 ##
14 ## - attributeTypess
15 ## - objectClasseses
16 ##
17 ## Printer support
18 ## - attributeTypess
19 ## - objectClasseses
20 ##
21 ## Samba4
22 ## - attributeTypess
23 ## - objectClasseses
24 ## - LDB/LDAP Controls
25 ## - LDB/LDAP Extended Operations
26 ## - mapped OIDs due to conflicts between AD and standards-track
27 ##
28 dn: cn=schema
29 ##
30 #######################################################################
31 ##                Attributes used by Samba 3.0 schema                ##
32 #######################################################################
33 ##
34 ## Password hashes##
35 attributeTypes: ( NAME 'sambaLMPassword' DESC 'LanManager Password' EQUALITY caseIgnoreIA5Match SYNTAX{32} SINGLE-VALUE )
36 attributeTypes: ( NAME 'sambaNTPassword' DESC 'MD4 hash of the unicode password' EQUALITY caseIgnoreIA5Match SYNTAX{32} SINGLE-VALUE )
37 ##
38 ## Account flags in string format ([UWDX     ])
39 ##
40 attributeTypes: ( NAME 'sambaAcctFlags' DESC 'Account Flags' EQUALITY caseIgnoreIA5Match SYNTAX{16} SINGLE-VALUE )
41 ##
42 ## Password timestamps & policies
43 ##
44 attributeTypes: ( NAME 'sambaPwdLastSet' DESC 'Timestamp of the last password update' EQUALITY integerMatch SYNTAX SINGLE-VALUE )
45 attributeTypes: ( NAME 'sambaPwdCanChange' DESC 'Timestamp of when the user is allowed to update the password' EQUALITY integerMatch SYNTAX SINGLE-VALUE )
46 attributeTypes: ( NAME 'sambaPwdMustChange' DESC 'Timestamp of when the password will expire' EQUALITY integerMatch SYNTAX SINGLE-VALUE )
47 attributeTypes: ( NAME 'sambaLogonTime' DESC 'Timestamp of last logon' EQUALITY integerMatch SYNTAX SINGLE-VALUE )
48 attributeTypes: ( NAME 'sambaLogoffTime' DESC 'Timestamp of last logoff' EQUALITY integerMatch SYNTAX SINGLE-VALUE )
49 attributeTypes: ( NAME 'sambaKickoffTime' DESC 'Timestamp of when the user will be logged off automatically' EQUALITY integerMatch SYNTAX SINGLE-VALUE )
50 attributeTypes: ( NAME 'sambaBadPasswordCount' DESC 'Bad password attempt count' EQUALITY integerMatch SYNTAX SINGLE-VALUE )
51 attributeTypes: ( NAME 'sambaBadPasswordTime' DESC 'Time of the last bad password attempt' EQUALITY integerMatch SYNTAX SINGLE-VALUE )
52 attributeTypes: ( NAME 'sambaLogonHours' DESC 'Logon Hours' EQUALITY caseIgnoreIA5Match SYNTAX{42} SINGLE-VALUE )
53 ##
54 ## string settings
55 ##
56 attributeTypes: ( NAME 'sambaHomeDrive' DESC 'Driver letter of home directory mapping' EQUALITY caseIgnoreIA5Match SYNTAX{4} SINGLE-VALUE )
57 attributeTypes: ( NAME 'sambaLogonScript' DESC 'Logon script path' EQUALITY caseIgnoreMatch SYNTAX{255} SINGLE-VALUE )
58 attributeTypes: ( NAME 'sambaProfilePath' DESC 'Roaming profile path' EQUALITY caseIgnoreMatch SYNTAX{255} SINGLE-VALUE )
59 attributeTypes: ( NAME 'sambaUserWorkstations' DESC 'List of user workstations the user is allowed to logon to' EQUALITY caseIgnoreMatch SYNTAX{255} SINGLE-VALUE )
60 attributeTypes: ( NAME 'sambaHomePath' DESC 'Home directory UNC path' EQUALITY caseIgnoreMatch SYNTAX{128} )
61 attributeTypes: ( NAME 'sambaDomainName' DESC 'Windows NT domain to which the user belongs' EQUALITY caseIgnoreMatch SYNTAX{128} )
62 attributeTypes: ( NAME 'sambaMungedDial' DESC 'Base64 encoded user parameter string' EQUALITY caseExactMatch SYNTAX{1050} )
63 attributeTypes: ( NAME 'sambaPasswordHistory' DESC 'Concatenated MD5 hashes of the salted NT passwords used on this account' EQUALITY caseIgnoreIA5Match SYNTAX{32} )
64 ##
65 ## SID, of any type
66 ##
67 attributeTypes: ( NAME 'sambaSID' DESC 'Security ID' EQUALITY caseIgnoreIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX{64} SINGLE-VALUE )
68 ##
69 ## Primary group SID, compatible with ntSid
70 ##
71 attributeTypes: ( NAME 'sambaPrimaryGroupSID' DESC 'Primary Group Security ID' EQUALITY caseIgnoreIA5Match SYNTAX{64} SINGLE-VALUE )
72 attributeTypes: ( NAME 'sambaSIDList' DESC 'Security ID List' EQUALITY caseIgnoreIA5Match SYNTAX{64} )
73 ##
74 ## group mapping attributes
75 ##
76 attributeTypes: ( NAME 'sambaGroupType' DESC 'NT Group Type' EQUALITY integerMatch SYNTAX SINGLE-VALUE )
77 ##
78 ## Store info on the domain
79 ##
80 attributeTypes: ( NAME 'sambaNextUserRid' DESC 'Next NT rid to give our for users' EQUALITY integerMatch SYNTAX SINGLE-VALUE )
81 attributeTypes: ( NAME 'sambaNextGroupRid' DESC 'Next NT rid to give out for groups' EQUALITY integerMatch SYNTAX SINGLE-VALUE )
82 attributeTypes: ( NAME 'sambaNextRid' DESC 'Next NT rid to give out for anything' EQUALITY integerMatch SYNTAX SINGLE-VALUE )
83 attributeTypes: ( NAME 'sambaAlgorithmicRidBase' DESC 'Base at which the samba RID generation algorithm should operate' EQUALITY integerMatch SYNTAX SINGLE-VALUE )
84 attributeTypes: ( NAME 'sambaShareName' DESC 'Share Name' EQUALITY caseIgnoreMatch SYNTAX SINGLE-VALUE )
85 attributeTypes: ( NAME 'sambaOptionName' DESC 'Option Name' EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX{256} )
86 attributeTypes: ( NAME 'sambaBoolOption' DESC 'A boolean option' EQUALITY booleanMatch SYNTAX SINGLE-VALUE )
87 attributeTypes: ( NAME 'sambaIntegerOption' DESC 'An integer option' EQUALITY integerMatch SYNTAX SINGLE-VALUE )
88 attributeTypes: ( NAME 'sambaStringOption' DESC 'A string option' EQUALITY caseExactIA5Match SYNTAX SINGLE-VALUE )
89 attributeTypes: ( NAME 'sambaStringListOption' DESC 'A string list option' EQUALITY caseIgnoreMatch SYNTAX )
90 ##attributeTypes: ( NAME 'sambaPrivName' 
91 ##      SUP name )
92 ##
93 ##attributeTypes: ( NAME 'sambaPrivilegeList'
94 ##      DESC 'Privileges List'
95 ##      EQUALITY caseIgnoreIA5Match
96 ##      SYNTAX{64} )
97 attributeTypes: ( NAME 'sambaTrustFlags' DESC 'Trust Password Flags' EQUALITY caseIgnoreIA5Match SYNTAX )
98 # "min password length"
99 attributeTypes: ( NAME 'sambaMinPwdLength' DESC 'Minimal password length (default: 5)' EQUALITY integerMatch SYNTAX SINGLE-VALUE )
100 # "password history"
101 attributeTypes: ( NAME 'sambaPwdHistoryLength' DESC 'Length of Password History Entries (default: 0 => off)' EQUALITY integerMatch SYNTAX SINGLE-VALUE )
102 # "user must logon to change password"
103 attributeTypes: ( NAME 'sambaLogonToChgPwd' DESC 'Force Users to logon for password change (default: 0 => off, 2 => on)' EQUALITY integerMatch SYNTAX SINGLE-VALUE )
104 # "maximum password age"
105 attributeTypes: ( NAME 'sambaMaxPwdAge' DESC 'Maximum password age, in seconds (default: -1 => never expire passwords)' EQUALITY integerMatch SYNTAX SINGLE-VALUE )
106 # "minimum password age"
107 attributeTypes: ( NAME 'sambaMinPwdAge' DESC 'Minimum password age, in seconds (default: 0 => allow immediate password change)' EQUALITY integerMatch SYNTAX SINGLE-VALUE )
108 # "lockout duration"
109 attributeTypes: ( NAME 'sambaLockoutDuration' DESC 'Lockout duration in minutes (default: 30, -1 => forever)' EQUALITY integerMatch SYNTAX SINGLE-VALUE )
110 # "reset count minutes"
111 attributeTypes: ( NAME 'sambaLockoutObservationWindow' DESC 'Reset time after lockout in minutes (default: 30)' EQUALITY integerMatch SYNTAX SINGLE-VALUE )
112 # "bad lockout attempt"
113 attributeTypes: ( NAME 'sambaLockoutThreshold' DESC 'Lockout users after bad logon attempts (default: 0 => off)' EQUALITY integerMatch SYNTAX SINGLE-VALUE )
114 # "disconnect time"
115 attributeTypes: ( NAME 'sambaForceLogoff' DESC 'Disconnect Users outside logon hours (default: -1 => off, 0 => on)' EQUALITY integerMatch SYNTAX SINGLE-VALUE )
116 # "refuse machine password change"
117 attributeTypes: ( NAME 'sambaRefuseMachinePwdChange' DESC 'Allow Machine Password changes (default: 0 => off)' EQUALITY integerMatch SYNTAX SINGLE-VALUE )
118 #
119 attributeTypes: ( NAME 'sambaClearTextPassword' DESC 'Clear text password (used for trusted domain passwords)' EQUALITY octetStringMatch SYNTAX )
120 #
121 attributeTypes: ( NAME 'sambaPreviousClearTextPassword' DESC 'Previous clear text password (used for trusted domain passwords)' EQUALITY octetStringMatch SYNTAX )
122 #
123 attributeTypes: ( NAME 'sambaTrustType' DESC 'Type of trust' EQUALITY integerMatch SYNTAX SINGLE-VALUE )
124 #
125 attributeTypes: ( NAME 'sambaTrustAttributes' DESC 'Trust attributes for a trusted domain' EQUALITY integerMatch SYNTAX SINGLE-VALUE )
126 #
127 attributeTypes: ( NAME 'sambaTrustDirection' DESC 'Direction of a trust' EQUALITY integerMatch SYNTAX SINGLE-VALUE )
128 #
129 attributeTypes: ( NAME 'sambaTrustPartner' DESC 'Fully qualified name of the domain with which a trust exists' EQUALITY caseIgnoreMatch SYNTAX{128} )
130 #
131 attributeTypes: ( NAME 'sambaFlatName' DESC 'NetBIOS name of a domain' EQUALITY caseIgnoreMatch SYNTAX{128} )
132 #
133 attributeTypes: ( NAME 'sambaTrustAuthOutgoing' DESC 'Authentication information for the outgoing portion of a trust' EQUALITY caseExactMatch SYNTAX{1050} )
134 #
135 attributeTypes: ( NAME 'sambaTrustAuthIncoming' DESC 'Authentication information for the incoming portion of a trust' EQUALITY caseExactMatch SYNTAX{1050} )
136 #
137 attributeTypes: ( NAME 'sambaSecurityIdentifier' DESC 'SID of a trusted domain' EQUALITY caseIgnoreIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX{64} SINGLE-VALUE )
138 #
139 attributeTypes: ( NAME 'sambaTrustForestTrustInfo' DESC 'Forest trust information for a trusted domain object' EQUALITY caseExactMatch SYNTAX{1050} )
140 #
141 attributeTypes: ( NAME 'sambaTrustPosixOffset' DESC 'POSIX offset of a trust' EQUALITY integerMatch SYNTAX SINGLE-VALUE )
142 #
143 attributeTypes: ( NAME 'sambaSupportedEncryptionTypes' DESC 'Supported encryption types of a trust' EQUALITY integerMatch SYNTAX SINGLE-VALUE )
144 ##
145 #######################################################################
146 ##              objectClasses: used by Samba 3.0 schema               ##
147 #######################################################################
148 ##
149 ## The X.500 data model (and therefore LDAPv3) says that each entry can
150 ## only have one structural objectClasses.  OpenLDAP 2.0 does not enforce
151 ## this currently but will in v2.1
152 ##
153 ## added new objectClasses: (and OID) for 3.0 to help us deal with backwards
154 ## compatibility with 2.2 installations (e.g. ldapsam_compat)  --jerry
155 ##
156 objectClasses: ( NAME 'sambaSamAccount' SUP top AUXILIARY DESC 'Samba 3.0 Auxilary SAM Account' MUST ( uid $ sambaSID ) MAY  ( cn $ sambaLMPassword $ sambaNTPassword $ sambaPwdLastSet $ sambaLogonTime $ sambaLogoffTime $ sambaKickoffTime $ sambaPwdCanChange $ sambaPwdMustChange $ sambaAcctFlags $ displayName $ sambaHomePath $ sambaHomeDrive $ sambaLogonScript $ sambaProfilePath $ description $ sambaUserWorkstations $ sambaPrimaryGroupSID $ sambaDomainName $ sambaMungedDial $ sambaBadPasswordCount $ sambaBadPasswordTime $ sambaPasswordHistory $ sambaLogonHours))
157 ##
158 ## Group mapping info
159 ##
160 objectClasses: ( NAME 'sambaGroupMapping' SUP top AUXILIARY DESC 'Samba Group Mapping' MUST ( gidNumber $ sambaSID $ sambaGroupType ) MAY  ( displayName $ description $ sambaSIDList ))
161 ##
162 ## Trust password for trust relationships (any kind)
163 ##
164 objectClasses: ( NAME 'sambaTrustPassword' SUP top STRUCTURAL DESC 'Samba Trust Password' MUST ( sambaDomainName $ sambaNTPassword $ sambaTrustFlags ) MAY ( sambaSID $ sambaPwdLastSet ))
165 ##
166 ## Whole-of-domain info
167 ##
168 objectClasses: ( NAME 'sambaDomain' SUP top STRUCTURAL DESC 'Samba Domain Information' MUST ( sambaDomainName $ sambaSID ) MAY ( sambaNextRid $ sambaNextGroupRid $ sambaNextUserRid $ sambaAlgorithmicRidBase $ sambaMinPwdLength $ sambaPwdHistoryLength $ sambaLogonToChgPwd $ sambaMaxPwdAge $ sambaMinPwdAge $ sambaLockoutDuration $ sambaLockoutObservationWindow $ sambaLockoutThreshold $ sambaForceLogoff $ sambaRefuseMachinePwdChange ))
169 ##
170 ## used for idmap_ldap module
171 ##
172 objectClasses: ( NAME 'sambaUnixIdPool' SUP top AUXILIARY DESC 'Pool for allocating UNIX uids/gids' MUST ( uidNumber $ gidNumber ) ) 
173 objectClasses: ( NAME 'sambaIdmapEntry' SUP top AUXILIARY DESC 'Mapping from a SID to an ID' MUST ( sambaSID ) MAY ( uidNumber $ gidNumber ) )
174 objectClasses: ( NAME 'sambaSidEntry' SUP top STRUCTURAL DESC 'Structural Class for a SID' MUST ( sambaSID ) )
175 objectClasses: ( NAME 'sambaConfig' SUP top AUXILIARY DESC 'Samba Configuration Section' MAY ( description ) )
176 objectClasses: ( NAME 'sambaShare' SUP top STRUCTURAL DESC 'Samba Share Section' MUST ( sambaShareName ) MAY ( description ) )
177 objectClasses: ( NAME 'sambaConfigOption' SUP top STRUCTURAL DESC 'Samba Configuration Option' MUST ( sambaOptionName ) MAY ( sambaBoolOption $ sambaIntegerOption $ sambaStringOption $ sambaStringListoption $ description ) )
178 ## retired during privilege rewrite
179 ##objectClasses: ( NAME 'sambaPrivilege' SUP top AUXILIARY
180 ##      DESC 'Samba Privilege'
181 ##      MUST ( sambaSID )
182 ##      MAY ( sambaPrivilegeList ) )
183 ##
184 ## Trusted Domain Relationships
185 ##
186 objectClasses: ( NAME 'sambaTrustedDomainPassword' SUP top STRUCTURAL DESC 'Samba Trusted Domain Password' MUST ( sambaDomainName $ sambaSID $ sambaClearTextPassword $ sambaPwdLastSet ) MAY ( sambaPreviousClearTextPassword ) )
187 ##
188 ## used for IPA_ldapsam
189 ##
190 objectClasses: ( NAME 'sambaTrustedDomain' SUP top STRUCTURAL DESC 'Samba Trusted Domain Object' MUST ( cn ) MAY ( sambaTrustType $ sambaTrustAttributes $ sambaTrustDirection $ sambaTrustPartner $ sambaFlatName $ sambaTrustAuthOutgoing $ sambaTrustAuthIncoming $ sambaSecurityIdentifier $ sambaTrustForestTrustInfo $ sambaTrustPosixOffset $ sambaSupportedEncryptionTypes) )