[LDAP] Remove mentions to CI, keep old URL, clean files

b5dc3c5b · Quentin Duchemin · 89552623 · b5dc3c5b · b5dc3c5b · b5dc3c5b
Verified Commit b5dc3c5b authored 4 years ago by Quentin Duchemin
--- a/pica-openldap/README.md
+++ b/pica-openldap/README.md
@@ -22,12 +22,14 @@ Cette image **doit être lancée** aux côtés de [TLS Certs Monitor](../pica-tl

 ## Démarrage

-La construction de ce service est géré par la chaîne ; il suffit donc de se rendre sur l'hôte souhaité et de lancer la commande :
+Copier `pica-openldap.secrets.example` en `pica-openldap.secrets`, puis lancer :

 ```bash
 docker-compose up -d && docker-compose logs -f
 ```

+Notez que l'ensemble de la configuration pour préparer l'instance n'est utilisée que lors du premier lancement : elle n'aura aucun effet sur les instances existantes.
+
 ## Configuration

 Par rapport à la configuration de base, cette version :
@@ -128,7 +130,7 @@ image: registry.picasoft.net/pica-openldap:1.3.0
 ## Démarrage du conteneur

 Pour démarrer le conteneur, utiliser le fichier
-[docker-compose.yml](./docker-compose.yml) fourni. Il faut s'assurer que [pica-tls-certs-monitor](../pica-tls-certs-monitor) est lancé pour disposer du volume `ldap-certs`. Le fichier `secrets/pica-openldap.secrets` doit exister avant le premier démarrage.
+[docker-compose.yml](./docker-compose.yml) fourni. Il faut s'assurer que [pica-tls-certs-monitor](../pica-tls-certs-monitor) est lancé pour générer les certificats. Le fichier `secrets/pica-openldap.secrets` doit exister avant le premier démarrage.

 > Les informations contenues dans `pica-openldap.secrets` ne sont utilisées qu'au
 premier démarrage, on peut le remplacer ensuite par une version vide.

--- a/pica-openldap/docker-compose.yml
+++ b/pica-openldap/docker-compose.yml
@@ -5,27 +5,22 @@ volumes:
    name: ldap_db
  ldap_config:
    name: ldap_config
-  # Must have been created by pica-tls-certs-monitor
-  ldap_certs:
-    external: true

 services:
  ldap:
    image: registry.picasoft.net/pica-openldap:1.3.0
    container_name: ldap
    ports:
-      # For StartTLS
-      - "389:389"
-      # For LDAPS
      - "636:636"
    env_file:
      - ./secrets/pica-openldap.secrets
    labels:
-      traefik.frontend.rule: "Host:ldaps.picasoft.net"
+      traefik.frontend.rule: "Host:ldap.picasoft.net"
      traefik.enable: true
      tls-certs-monitor.enable: true
      tls-certs-monitor.action: "restart"
    volumes:
      - ldap_db:/var/lib/ldap
      - ldap_config:/etc/ldap/slapd.d
-      - ldap_certs:/container/service/slapd/assets/certs
+      - /DATA/docker/certs/ldap.picasoft.net:/container/service/slapd/assets/certs
+    restart: unless-stopped
--- a/pica-openldap/environment/pica.startup.yaml
+++ b/pica-openldap/environment/pica.startup.yaml
@@ -6,8 +6,6 @@ LDAP_ORGANISATION: Picasoft
 LDAP_DOMAIN: picasoft.net
 LDAP_BASE_DN: #if empty automatically set from LDAP_DOMAIN

-LDAP_ADMIN_PASSWORD: admin
-
 LDAP_READONLY_USER: true
 LDAP_READONLY_USER_USERNAME: nss

@@ -18,6 +16,8 @@ LDAP_TLS_KEY_FILENAME: privkey.pem
 LDAP_TLS_CA_CRT_FILENAME: chain.pem
 # Note 25/04 : This sets ssf to 128. Maybe it should set minssf to 128 instead to
 # reject any non-encryption connexion on port 389. Testing required.
+# (Indeed, when this variable is true, this file is executed :
+# https://github.com/osixia/docker-openldap/blob/stable/image/service/slapd/assets/config/tls/tls-enforce-enable.ldif)
 LDAP_TLS_ENFORCE: true
 LDAP_TLS_VERIFY_CLIENT: never