Konfiguruję uwierzytelnianie LDAP na moim osobistym VPS, a Ubuntu ma dwa pakiety w tym samym celu: libpam-ldap
i libpam-ldapd
. Z którego powinienem korzystać?
Konfiguruję uwierzytelnianie LDAP na moim osobistym VPS, a Ubuntu ma dwa pakiety w tym samym celu: libpam-ldap
i libpam-ldapd
. Z którego powinienem korzystać?
Odpowiedzi:
Bardzo lubię libpam-ldapd
, używam go od roku w produkcji na wielu serwerach Ubuntu. Mogę to polecić ponad libpam-ldap
.
Projekt nazywa się pierwotnie, nss-pam-ldapd
a na jego stronie głównej można znaleźć listę jego największych zalet w stosunku do starego libpam-ldap
pakietu.
Edycja: W połączeniu z libpam-ldapd
Ubuntu powinieneś również zajrzeć do auth-client-config
pakietu, aby poprawnie skonfigurować PAM i in.
Chociaż libnss-ldapd
jest lepszy niż libnss-ldap
praktycznie pod każdym względem, libpam-ldapd
ma jedną poważną wadę: nie może obsłużyć LDAP ppolicy
, a ja nie mogłem znaleźć żadnych informacji na temat zmiany hasła za pomocą rozszerzonej operacji LDAP (może obsługiwać to w sposób przezroczysty).
Jeśli masz darmowy LDAP „w cieniu” (jeśli go używasz, ppolicy
to na pewno tak będzie, jeśli użyjesz OpenLDAP jako obu ppolicy
i smbk5pwd
nie zaktualizujesz informacji o przedawnianiu hasła cienia), libpam-ldap
albo użytkownicy nie zostaną powiadomieni, że ich hasło wkrótce wygaśnie.
Na szczęście możesz je mieszać i łączyć. Korzystam libnss-ldapd
z nim libpam-ldap
od ponad roku bez żadnych problemów.
Jednym z powodów, dla których zmuszeni jesteśmy do konwersji libpam-ldapd
jest to, że używamy SSL dla naszych serwerów LDAP. Dzięki „zepsuciu” libgcrypt (patrz błąd Debian 566351 lub błąd Ubuntu 23252 , oba rozrywkowe), oznacza to, że sudo
przestaje działać, gdy libpam-ldap
& libnss-ldap
są używane z LDAP / SSL.
Twoje opcje, jeśli chcesz używać SSL z LDAP (i dlaczego by tego nie zrobiłeś) to rekompilacja libpam-ldap
z OpenSSL lub użycie libpam-ldapd
.