libpam-ldap ou libpam-ldapd?

Respostas:

10

Gosto muito de libpam-ldapdusá-lo há um ano na produção de vários servidores Ubuntu. Eu recomendo libpam-ldap.

O projeto é originalmente chamado nss-pam-ldapde, em sua página inicial, você encontra uma lista de suas maiores vantagens em relação ao libpam-ldappacote antigo .

Editar: Em conjunto com o libpam-ldapdUbuntu, você também deve procurar no auth-client-configpacote para configurar corretamente o PAM et al.

daff
fonte
7

Embora libnss-ldapdseja melhor do que libnss-ldapem praticamente todos os aspectos, ele libpam-ldapdtem uma grande deficiência: não pode lidar com LDAP ppolicye não consegui encontrar nenhuma informação sobre alteração de senha usando o LDAP Extended Operation (ele pode lidar com isso de forma transparente).

Se você possui um LDAP livre de "sombra" (se você o usar com ppolicycerteza, se usar o OpenLDAP como ambos ppolicye smbk5pwdnão atualizar as informações de envelhecimento da senha de sombra), será necessário libpam-ldapou os usuários não serão notificados de que sua senha expirará em breve.

Felizmente, você pode misturá-los e combiná-los. Estou usando libnss-ldapdjunto libpam-ldaphá mais de um ano sem problemas.

Hubert Kario
fonte
5

Uma razão pela qual fomos forçados a converter libpam-ldapdé que usamos SSL para nossos servidores LDAP. Graças à "quebra" da libgcrypt (consulte o bug Debian 566351 ou o bug 23252 do Ubuntu , ambos divertidos), isso significa que sudopára de funcionar quando libpam-ldape libnss-ldapé usado com LDAP / SSL.

Suas opções se você deseja usar SSL com LDAP (e por que não faria isso?) São recompilar libpam-ldapcom OpenSSL ou usar libpam-ldapd.

Zanchey
fonte
Uau, essa é uma discussão bem louca. Mas parece que eles estão descartando o libgcrypt em favor da urtiga?
Jdugger
Ainda não aconteceu. De qualquer forma, o lipam-ldapd provavelmente é "melhor" do ponto de vista da pureza e segurança da arquitetura, mas se o nslcd travar, você poderá ser o SOL.
Zanchey 27/07