openldap - slapd.d или slapd.conf

Лучше - только возможностью изменения схемы без перезагрузки slapd. Хуже - тем что сторонние *.ldif файлы можно не найти, и придется их делать на основе *.schema - что несколько затруднительно. Если каталог рассчитан на долгую жизнь - то slapd.d, иначе можно ldapd.conf

возможностью изменения схемы

а зачем её менять динамически? какие например сервисы меняют или требуют менять схему ?

тем, что можно менять не останавливая сервер.

онлайн конфигурация..- чем лучше на практике?

Правка ACL'ей.

если есть такой вопрос, значит вероятность изменения схемы в стадии использования - в районе нуля.

команде openldap наверное стало скучно - смешно переделывать openldap изза такой прихоти  — ACL - )) как будто их часто меняют . да и рестарт лдапа - безобидная штука,1 сек, хоть кроном раз в мин рестартуй, никто в домене незаметит... а теперь вот разбирайся, почему репликация не работает.. кто нибудь знает?- эти новые конфы руками теперь править можно? или может теперь ногами нужно? )

эти новые конфы руками теперь править можно?

ldapmodify

да и рестарт лдапа - безобидная штука,1 сек

Во-первых - далеко не 1 секунду. А во-вторых - да-да. В домене, в почте, в wifi, в dns, в proxy, в vpn, в apache, в записной книжке, в спаме, и в куче web приложений.

не заметит.

а теперь вот разбирайся, почему репликация не работает

Руки под другим углом.

кто нибудь знает?- эти новые конфы руками теперь править можно?

Можно - любым ldap клиентом.

Руки под другим углом

конечно под другим, не под мышку

любым ldap клиентом

конечно под другим, не под мышку

Это заметно.

придется их делать на основе *.schema - что несколько затруднительно.

Что значит «затруднительно»? Вся работа делается самим openldap, достаточно только создать (и не удалять) минимально-необходимый slapd.conf и указывать в нём схему. После создания .ldif правка 2-х строк и удаление 4-х. Готовый .ldif можно использовать сразу и не на одном сервере.

да и рестарт лдапа - безобидная штука,1 сек, хоть кроном раз в мин рестартуй, никто в домене незаметит...

Ну да, конечно.©

Поправь в конфиге что-нибудь не так, сделай хоть одну малюсенькую опечатку и получи даунтайм уже не 1 сек, а гораздо поболее. При таком даунтайме и имея кучу клиентов, работающих с сервером, его уже заметят. Гарантирую.

При работе через ldap-браузер с динамической конфигурацией, сам slapd не даёт вносить правки, влияющие на работоспособность сервера и возможность безболезненного его рестарта.

за исключеним того чтобы подготовить это нужно иметь схемы используемые в работающей конфигурации + соответвенно новую. Поскольку в новой схеме могут используются элементы другой схемы. Можешь проверить сам, подставь только новую схему в конвертор, без стандартных.
P.S. Таким образом, если делаешь динамическую конфигурацию, всегда сохраняй оригинальные файлы *.schema и веди документацию(какие из них используешь и в каком порядке подключаешь). Тогда проблем не будет.

В случае статической конфигурации порядок подключения тоже важен.

По поводу подготовки: да, надо иметь минимально-необходимый набор схем для преобразования, но это требуется для конвертации, т.е. для разового действия. Если поставщики ПО/ разработчики дистрибутива сразу прикладывают нужные LDIF и .schema, которые тебя устраивают, то ничего не надо делать.

а я просто так правлю конфиги и ничего, рестарт и все норм , не падает, - на предмет ALC, и реплик, вот только непонял - ACL в olcDatabase={0}config.ldif - это ACL доступа к чему?

доступ в cn=config