在我的服务器上,我的系统用户已经configuration了厨师,并且不希望将任何其他用户暴露给这些机器。 然而,我想利用pam作为我的monit仪表板的身份validation后端。
我需要设置libnss-ldapd来使pam_ldap工作吗? 或者我想这是错误的方式。 如果/etc/pam.d/common-*不使用pam_ldap设置nss是否真的很重要?
这取决于我们正在谈论的pam_ldap味道。 你没有提到一个操作系统,但是从libnss-ldapd我可以得知,我们正在谈论Debian的一些味道。
libpam-ldap和libpam-ldapd是两个独立的野兽,都实现了pam_ldap.so。 ldapd的风格依赖于nslcd(而不是libnss-ldapd ),它可以在不启用NSS组件的情况下使用。 我不记得是否nslcd对libnss-ldapd依赖性,但即使如此,只有在/etc/nsswitch.conf添加“ldap”时才会引用它。 你不需要担心它在你背后用NSS做某事。
在这一点上,你可能想知道有什么区别(为什么人们会打扰增加的依赖),所以这里是一个免费的:
libpam-ldap )没有被积极开发。 它不会有新的和有趣的事情发生。 libpam-ldapd (和sssd)的主要优点是后端守护进程可以处理实际的LDAP连接并保持其可达性的运行状态。 libpam-ldapd具有至less一个在sssd或其他PAM模块中不存在的情景function 。 在使用NSS模块时,包含守护进程更是一个棘手的问题,因为每个单独的程序都不得不独立超时到达LDAP服务器,这并不理想,为什么我羡慕每一个从来不需要的年轻Linuxpipe理员学习这个难题。
所以你去了:你可以避免NSS集成,你可以根据你select的模块避开nslcd守护进程。 实施战略取决于你。