私は自分のVPSでLDAP認証を設定しています。Ubuntuには同じ目的で2つのパッケージがあります libpam-ldap
および libpam-ldapd
。どちらを使用すればよいですか?
私はlibpam-ldapd
が大好きで、かなりの数のUbuntuサーバーで1年間使用しています。 libpam-ldap
よりお勧めできます。
このプロジェクトは元々nss-pam-ldapd
と呼ばれ、 そのホームページ に、古いlibpam-ldap
パッケージと比較した最大の利点のリストがあります。
編集:Ubuntuのlibpam-ldapd
と組み合わせて、auth-client-config
パッケージも調べて、PAMなどを正しく構成する必要があります。
libnss-ldapd
はlibnss-ldap
よりも実質的にあらゆる点で優れていますが、libpam-ldapd
には1つの大きな欠点があります。LDAPを処理できないppolicy
で、何も見つかりませんでしたLDAP拡張操作を使用したパスワード変更に関する情報(透過的に処理される場合があります)。
「シャドウ」のないLDAPを使用している場合(ppolicy
を使用している場合、OpenLDAPをppolicy
とsmbk5pwd
の両方として使用している場合は、シャドウパスワードのエージング情報を更新しないでください。 )libpam-ldap
が必要です。そうしないと、パスワードが間もなく期限切れになることはユーザーに通知されません。
ありがたいことに、それらを組み合わせることができます。 libnss-ldapd
とlibpam-ldap
を併用して1年以上問題なく使用しています。
libpam-ldapd
への変換を余儀なくされた理由の1つは、LDAPサーバーにSSLを使用していることです。 libgcrypt "brokenness"のおかげで( Debianバグ566351 または buntuバグ23252 を参照してください、どちらも面白い)、これはSudo
がlibpam-ldap
&libnss-ldap
のときに動作を停止することを意味しますLDAP/SSLで使用されます。
LDAPでSSLを使用する場合のオプション(およびなぜ使用しないのか)は、OpenSSLでlibpam-ldap
を再コンパイルするか、libpam-ldapd
を使用することです。