Я налаштовую автентифікацію LDAP на моєму персональному VPS, і Ubuntu має два пакети з однаковою метою: libpam-ldapі libpam-ldapd. Який я повинен використовувати?
Я налаштовую автентифікацію LDAP на моєму персональному VPS, і Ubuntu має два пакети з однаковою метою: libpam-ldapі libpam-ldapd. Який я повинен використовувати?
Відповіді:
Мені дуже подобається libpam-ldapd, використовую його вже рік у виробництві на досить багатьох серверах Ubuntu. Я можу порекомендувати це над libpam-ldap.
Проект спочатку називається, nss-pam-ldapdі на його домашній сторінці ви можете знайти список його найбільших переваг перед старим libpam-ldapпакетом.
Редагувати: спільно з libpam-ldapdUbuntu ви також повинні переглянути auth-client-configпакет, щоб правильно налаштувати PAM та ін.
Хоча libnss-ldapdце краще, ніж libnss-ldapпрактично у будь-який спосіб, у libpam-ldapdнього є один головний недолік: він не може впоратися з LDAP ppolicy, і я не зміг знайти будь-яку інформацію про зміну пароля за допомогою розширеної операції LDAP (вона може обробляти це прозоро).
Якщо у вас є "тіньовий" безкоштовний LDAP (якщо ви, ppolicyзвичайно, використовуєте, якщо ви використовуєте OpenLDAP як обидва, ppolicyі smbk5pwdне оновлюєте інформацію про старіння тіньового пароля), вам потрібно libpam-ldapабо користувачі не отримають сповіщення про те, що термін дії їх пароля закінчиться незабаром.
На щастя, ви можете їх змішувати та поєднувати. Я використовую libnss-ldapdразом libpam-ldapвже більше року без проблем.
Однією з причин, до якої нас змусили конвертувати, libpam-ldapdє те, що ми використовуємо SSL для своїх серверів LDAP. Завдяки "зламаності" libgcrypt (див. Помилку Debian 566351 або помилку Ubuntu 23252 , обидва розваги), це означає, що sudoприпиняє роботу, коли libpam-ldap& libnss-ldapвикористовуються з LDAP / SSL.
Якщо ви хочете використовувати SSL з LDAP (а чому б і ні?), Це перекомпілювати libpam-ldapз OpenSSL або використовувати libpam-ldapd.