From 51b09578912ee02b28fd4fcac8c523f5bb359c73 Mon Sep 17 00:00:00 2001
From: whirigoyen <whirigoyen+gitit@evolix.fr>
Date: Thu, 26 Aug 2021 16:09:58 +0200
Subject: [PATCH] Ajout section erreur rootdn

---
 HowtoOpenLDAP.md | 16 ++++++++++++++++
 1 file changed, 16 insertions(+)

diff --git a/HowtoOpenLDAP.md b/HowtoOpenLDAP.md
index e71999c7..2a36cc3a 100644
--- a/HowtoOpenLDAP.md
+++ b/HowtoOpenLDAP.md
@@ -524,3 +524,19 @@ slapcat | perl -p00e 's/\r?\n //g'
 ~~~
 
 Voir <https://openldap-technical.openldap.narkive.com/AAz1pHXD/slapcat-generate-extra-space-characters-in-ldif-output>
+
+### Erreur : rootdn is always granted unlimited privileges
+
+Pour certaines vieilles configurations avec `/etc/ldap/slapd.conf` :
+
+* `rootdn` est sur le super-user de la base de données.
+* Il est inutile de lui donner des accès car il les a déjà.
+* Si on lui donne des droits dans les ACL (directives "access") cela génère l'avertissement ci-dessus. Ce n'est pas un avertissement de sécurité mais de redondance.
+
+Il suffit de supprimer ou commenter les lignes `by` donnant des accès à rootdn dans les blocs `access` pour supprimer les warnings.
+
+Attention, le terme `rootdn` n'est pas explicitement mentionné dans les blocs `access`, recherchez plutôt son uid (vous pouvez le trouver dans la direction de définition du `rootdn`).
+
+Documentation : <https://www.openldap.org/doc/admin24/guide.html#Controlling%20rootdn%20access>
+
+"Never add the rootdn to the by clauses. ACLs are not even processed for operations performed with rootdn identity (otherwise there would be no reason to define a rootdn at all)."