Tôi đang thiết lập xác thực LDAP trên VPS cá nhân của mình và Ubuntu có hai gói cho cùng một mục đích: libpam-ldapvà libpam-ldapd. Tôi nên sử dụng cái nào?
Tôi đang thiết lập xác thực LDAP trên VPS cá nhân của mình và Ubuntu có hai gói cho cùng một mục đích: libpam-ldapvà libpam-ldapd. Tôi nên sử dụng cái nào?
Câu trả lời:
Tôi rất thích libpam-ldapd, đã sử dụng nó trong một năm nay để sản xuất trên khá nhiều máy chủ Ubuntu. Tôi có thể giới thiệu nó hơn libpam-ldap.
Dự án ban đầu được gọi nss-pam-ldapdvà trên trang chủ của nó, bạn có thể tìm thấy một danh sách các lợi thế lớn nhất của nó so với libpam-ldapgói cũ .
Chỉnh sửa: Kết hợp với libpam-ldapdtrên Ubuntu, bạn cũng nên xem xét auth-client-configgói để định cấu hình chính xác PAM et al.
Mặc dù thực tế libnss-ldapdtốt hơn libnss-ldapmọi cách, nhưng libpam-ldapdcó một thiếu sót lớn: nó không thể xử lý LDAP ppolicyvà tôi không thể tìm thấy bất kỳ thông tin nào về việc thay đổi mật khẩu bằng cách sử dụng LDAP Extended Operation (nó có thể xử lý trong suốt).
Nếu bạn có LDAP miễn phí "bóng tối" (nếu bạn sử dụng ppolicychắc chắn bạn sẽ sử dụng nếu bạn sử dụng OpenLDAP vì cả hai ppolicyvà smbk5pwdkhông cập nhật thông tin lão hóa mật khẩu bóng), bạn cần libpam-ldaphoặc người dùng sẽ không được thông báo rằng mật khẩu của họ sẽ hết hạn sớm.
Rất may, bạn có thể trộn và kết hợp chúng. Tôi đã sử dụng libnss-ldapdcùng với libpam-ldaphơn một năm nay mà không gặp vấn đề gì.
Một lý do khiến chúng tôi buộc phải chuyển đổi libpam-ldapdlà chúng tôi sử dụng SSL cho các máy chủ LDAP của mình. Nhờ libgcrypt "hỏng" (xem lỗi Debian 566351 hoặc Ubuntu bug 23252 , cả hai đều mang tính giải trí), điều này có nghĩa là sudongừng hoạt động khi libpam-ldap& libnss-ldapđược sử dụng với LDAP / SSL.
Các tùy chọn của bạn nếu bạn muốn sử dụng SSL với LDAP (và tại sao bạn lại không?) Sẽ biên dịch lại libpam-ldapvới OpenSSL hoặc sử dụng libpam-ldapd.