Я настраиваю аутентификацию LDAP на моем личном VPS, и в Ubuntu есть два пакета для одной цели: libpam-ldapи libpam-ldapd. Какой я должен использовать?
Я настраиваю аутентификацию LDAP на моем личном VPS, и в Ubuntu есть два пакета для одной цели: libpam-ldapи libpam-ldapd. Какой я должен использовать?
Ответы:
Я очень люблю libpam-ldapd, уже год использую его на производстве на нескольких серверах Ubuntu. Я могу рекомендовать это снова libpam-ldap.
Проект изначально называется, nss-pam-ldapdи на его домашней странице вы можете найти список его самых больших преимуществ перед старым libpam-ldapпакетом.
Редактировать: в сочетании с libpam-ldapdUbuntu вы также должны заглянуть в auth-client-configпакет для правильной настройки PAM и др.
Хотя libnss-ldapdэто лучше, чем libnss-ldapпрактически во всех отношениях, у libpam-ldapdнего есть один существенный недостаток: он не может обрабатывать LDAP ppolicy, и я не смог найти никакой информации об изменении пароля с помощью LDAP Extended Operation (он может обрабатывать это прозрачно).
Если у вас есть «теневой» бесплатный LDAP (если вы используете ppolicyего наверняка, если вы используете OpenLDAP в качестве обоих ppolicyи smbk5pwdне обновляете информацию о устаревании теневого пароля), то вам нужно, libpam-ldapили пользователи не будут уведомлены о том, что срок действия их пароля скоро истечет.
К счастью, вы можете смешивать и сочетать их. Я использую libnss-ldapdвместе с libpam-ldapбольше года без проблем.
Одна из причин, по которой мы были вынуждены перейти на libpam-ldapdэто, заключается в том, что мы используем SSL для наших серверов LDAP. Благодаря «поломке» libgcrypt (см. Ошибку Debian 566351 или ошибку Ubuntu 23252 , обе интересны), это означает, что sudoперестает работать, когда libpam-ldap& libnss-ldapиспользуется с LDAP / SSL.
Ваши варианты, если вы хотите использовать SSL с LDAP (а почему бы и нет?) - перекомпилировать libpam-ldapс OpenSSL или использовать libpam-ldapd.