Я настраиваю аутентификацию LDAP на моем личном VPS, и в Ubuntu есть два пакета для одной цели: libpam-ldap
и libpam-ldapd
. Какой я должен использовать?
Я настраиваю аутентификацию LDAP на моем личном VPS, и в Ubuntu есть два пакета для одной цели: libpam-ldap
и libpam-ldapd
. Какой я должен использовать?
Я очень люблю libpam-ldapd
, уже год использую его на производстве на нескольких серверах Ubuntu. Я могу рекомендовать это снова libpam-ldap
.
Проект изначально называется, nss-pam-ldapd
и на его домашней странице вы можете найти список его самых больших преимуществ перед старым libpam-ldap
пакетом.
Редактировать: в сочетании с libpam-ldapd
Ubuntu вы также должны заглянуть в auth-client-config
пакет для правильной настройки PAM и др.
Хотя libnss-ldapd
это лучше, чем libnss-ldap
практически во всех отношениях, у libpam-ldapd
него есть один существенный недостаток: он не может обрабатывать LDAP ppolicy
, и я не смог найти никакой информации об изменении пароля с помощью LDAP Extended Operation (он может обрабатывать это прозрачно).
Если у вас есть «теневой» бесплатный LDAP (если вы используете ppolicy
его наверняка, если вы используете OpenLDAP в качестве обоих ppolicy
и smbk5pwd
не обновляете информацию о устаревании теневого пароля), то вам нужно, libpam-ldap
или пользователи не будут уведомлены о том, что срок действия их пароля скоро истечет.
К счастью, вы можете смешивать и сочетать их. Я использую libnss-ldapd
вместе с libpam-ldap
больше года без проблем.
Одна из причин, по которой мы были вынуждены перейти на libpam-ldapd
это, заключается в том, что мы используем SSL для наших серверов LDAP. Благодаря «поломке» libgcrypt (см. Ошибку Debian 566351 или ошибку Ubuntu 23252 , обе интересны), это означает, что sudo
перестает работать, когда libpam-ldap
& libnss-ldap
используется с LDAP / SSL.
Ваши варианты, если вы хотите использовать SSL с LDAP (а почему бы и нет?) - перекомпилировать libpam-ldap
с OpenSSL или использовать libpam-ldapd
.