libpam-ldap atau libpam-ldapd?

Jawaban:

10

Saya sangat suka libpam-ldapd, telah menggunakannya selama setahun sekarang dalam produksi di beberapa server Ubuntu. Saya dapat merekomendasikannya libpam-ldap.

Proyek ini awalnya disebut nss-pam-ldapddan di beranda Anda dapat menemukan daftar keuntungan terbesarnya dari libpam-ldappaket lama .

Sunting: Sehubungan dengan libpam-ldapddi Ubuntu Anda juga harus melihat ke dalam auth-client-configpaket untuk mengkonfigurasi PAM et al.

daff
sumber
7

Meskipun libnss-ldapdlebih baik daripada libnss-ldapdalam segala hal praktis, libpam-ldapdada satu kekurangan utama: itu tidak dapat menangani LDAP ppolicy, dan saya tidak dapat menemukan informasi tentang perubahan kata sandi menggunakan Operasi Extended LDAP (itu mungkin menangani secara transparan).

Jika Anda memiliki "bayangan" LDAP gratis (jika Anda menggunakan ppolicyAnda pasti akan jika Anda menggunakan OpenLDAP sebagai keduanya ppolicydan smbk5pwdtidak memperbarui informasi penuaan kata sandi shadow) yang Anda butuhkan libpam-ldapatau pengguna tidak akan diberitahu bahwa kata sandi mereka akan segera kedaluwarsa.

Untungnya, Anda dapat mencampur dan mencocokkannya. Saya telah menggunakan libnss-ldapdbersama dengan libpam-ldapselama lebih dari setahun sekarang tanpa masalah.

Hubert Kario
sumber
5

Salah satu alasan kami terpaksa mengonversi libpam-ldapdadalah karena kami menggunakan SSL untuk server LDAP kami. Berkat libgcrypt "brokenness" (lihat Bug Debian 566351 atau Ubuntu bug 23252 , keduanya menghibur), ini berarti sudoberhenti bekerja ketika libpam-ldap& libnss-ldapdigunakan dengan LDAP / SSL.

Opsi Anda jika Anda ingin menggunakan SSL dengan LDAP (dan mengapa tidak?) Adalah mengkompilasi ulang libpam-ldapdengan OpenSSL atau menggunakan libpam-ldapd.

Zanchey
sumber
Wow, itu utas yang cukup gila. Tapi sepertinya mereka menjatuhkan libgcrypt demi nettle?
jldugger
Belum terjadi. Bagaimanapun, lipam-ldapd mungkin "lebih baik" dari sudut pandang kemurnian arsitektur dan keamanan, tetapi jika nslcd pernah crash Anda mungkin SOL.
Zanchey