Konfiguruję uwierzytelnianie LDAP na moim osobistym VPS, a Ubuntu ma dwa pakiety w tym samym celu: libpam-ldapi libpam-ldapd. Z którego powinienem korzystać?
Konfiguruję uwierzytelnianie LDAP na moim osobistym VPS, a Ubuntu ma dwa pakiety w tym samym celu: libpam-ldapi libpam-ldapd. Z którego powinienem korzystać?
Odpowiedzi:
Bardzo lubię libpam-ldapd, używam go od roku w produkcji na wielu serwerach Ubuntu. Mogę to polecić ponad libpam-ldap.
Projekt nazywa się pierwotnie, nss-pam-ldapda na jego stronie głównej można znaleźć listę jego największych zalet w stosunku do starego libpam-ldappakietu.
Edycja: W połączeniu z libpam-ldapdUbuntu powinieneś również zajrzeć do auth-client-configpakietu, aby poprawnie skonfigurować PAM i in.
Chociaż libnss-ldapdjest lepszy niż libnss-ldappraktycznie pod każdym względem, libpam-ldapdma jedną poważną wadę: nie może obsłużyć LDAP ppolicy, a ja nie mogłem znaleźć żadnych informacji na temat zmiany hasła za pomocą rozszerzonej operacji LDAP (może obsługiwać to w sposób przezroczysty).
Jeśli masz darmowy LDAP „w cieniu” (jeśli go używasz, ppolicyto na pewno tak będzie, jeśli użyjesz OpenLDAP jako obu ppolicyi smbk5pwdnie zaktualizujesz informacji o przedawnianiu hasła cienia), libpam-ldapalbo użytkownicy nie zostaną powiadomieni, że ich hasło wkrótce wygaśnie.
Na szczęście możesz je mieszać i łączyć. Korzystam libnss-ldapdz nim libpam-ldapod ponad roku bez żadnych problemów.
Jednym z powodów, dla których zmuszeni jesteśmy do konwersji libpam-ldapdjest to, że używamy SSL dla naszych serwerów LDAP. Dzięki „zepsuciu” libgcrypt (patrz błąd Debian 566351 lub błąd Ubuntu 23252 , oba rozrywkowe), oznacza to, że sudoprzestaje działać, gdy libpam-ldap& libnss-ldapsą używane z LDAP / SSL.
Twoje opcje, jeśli chcesz używać SSL z LDAP (i dlaczego by tego nie zrobiłeś) to rekompilacja libpam-ldapz OpenSSL lub użycie libpam-ldapd.