我在我的个人VPS上设置了LDAP身份validation,而Ubuntu有两个软件包用于同样的目的: libpam-ldap和libpam-ldapd 。 我应该用哪个?
我非常喜欢libpam-ldapd ,已经在一些Ubuntu服务器上使用它一年了。 我可以推荐它通过libpam-ldap 。
该项目最初名为nss-pam-ldapd ,在其主页上,您可以find与旧版libpam-ldap软件包相比最大优点的列表。
编辑:与Ubuntu上的libpam-ldapd一起,您还应该查看auth-client-config软件包以正确configurationPAM等。
虽然libnss-ldapd几乎在任何情况下都比libnss-ldap好,但libpam-ldapd有一个主要的缺陷:它不能处理LDAP ppolicy ,而且我也找不到有关使用LDAP Extended Operation更改密码的任何信息处理它透明)。
如果你有一个“影子”免费的LDAP(如果你使用ppolicy你肯定会如果你使用OpenLDAP作为ppolicy和smbk5pwd不更新影子密码老化信息),你需要libpam-ldap或不会通知用户他们的密码即将过期。
谢天谢地,你可以混合搭配它们。 我已经使用libnss-ldapd和libpam-ldap一年多了,没有任何问题。
我们被迫转换为libpam-ldapd一个原因是我们在我们的LDAP服务器上使用SSL。 感谢libgcrypt“破碎”(参见Debian bug 566351或Ubuntu bug 23252 ),这意味着当libpam-ldap & libnss-ldap与LDAP / SSL一起使用时, sudo停止工作。
如果你想在LDAP中使用SSL(你为什么不这么做),你可以select使用OpenSSL重新编译libpam-ldap或使用libpam-ldapd 。