libpam-ldap или libpam-ldapd?

Ответы:

10

Я очень люблю libpam-ldapd, уже год использую его на производстве на нескольких серверах Ubuntu. Я могу рекомендовать это снова libpam-ldap.

Проект изначально называется, nss-pam-ldapdи на его домашней странице вы можете найти список его самых больших преимуществ перед старым libpam-ldapпакетом.

Редактировать: в сочетании с libpam-ldapdUbuntu вы также должны заглянуть в auth-client-configпакет для правильной настройки PAM и др.

Дафф
источник
7

Хотя libnss-ldapdэто лучше, чем libnss-ldapпрактически во всех отношениях, у libpam-ldapdнего есть один существенный недостаток: он не может обрабатывать LDAP ppolicy, и я не смог найти никакой информации об изменении пароля с помощью LDAP Extended Operation (он может обрабатывать это прозрачно).

Если у вас есть «теневой» бесплатный LDAP (если вы используете ppolicyего наверняка, если вы используете OpenLDAP в качестве обоих ppolicyи smbk5pwdне обновляете информацию о устаревании теневого пароля), то вам нужно, libpam-ldapили пользователи не будут уведомлены о том, что срок действия их пароля скоро истечет.

К счастью, вы можете смешивать и сочетать их. Я использую libnss-ldapdвместе с libpam-ldapбольше года без проблем.

Хьюберт Карио
источник
5

Одна из причин, по которой мы были вынуждены перейти на libpam-ldapdэто, заключается в том, что мы используем SSL для наших серверов LDAP. Благодаря «поломке» libgcrypt (см. Ошибку Debian 566351 или ошибку Ubuntu 23252 , обе интересны), это означает, что sudoперестает работать, когда libpam-ldap& libnss-ldapиспользуется с LDAP / SSL.

Ваши варианты, если вы хотите использовать SSL с LDAP (а почему бы и нет?) - перекомпилировать libpam-ldapс OpenSSL или использовать libpam-ldapd.

Zanchey
источник
Вау, это довольно сумасшедшая тема. Но похоже, что они отказываются от libgcrypt в пользу крапивы?
jldugger
Еще не произошло В любом случае, lipam-ldapd, вероятно, «лучше» с точки зрения архитектурной чистоты и безопасности, но если nslcd когда-нибудь выйдет из строя, вы можете быть SOL.
Занчи