libpam-ldapまたはlibpam-ldapd?
私は自分のVPSでLDAP認証を設定しています。Ubuntuには同じ目的で2つのパッケージがあります libpam-ldap および libpam-ldapd 。どちらを使用すればよいですか?
私はlibpam-ldapdが大好きで、かなりの数のUbuntuサーバーで1年間使用しています。 libpam-ldapよりお勧めできます。
このプロジェクトは元々nss-pam-ldapdと呼ばれ、 そのホームページ に、古いlibpam-ldapパッケージと比較した最大の利点のリストがあります。
編集:Ubuntuのlibpam-ldapdと組み合わせて、auth-client-configパッケージも調べて、PAMなどを正しく構成する必要があります。
libnss-ldapdはlibnss-ldapよりも実質的にあらゆる点で優れていますが、libpam-ldapdには1つの大きな欠点があります。LDAPを処理できないppolicyで、何も見つかりませんでしたLDAP拡張操作を使用したパスワード変更に関する情報(透過的に処理される場合があります)。
「シャドウ」のないLDAPを使用している場合(ppolicyを使用している場合、OpenLDAPをppolicyとsmbk5pwdの両方として使用している場合は、シャドウパスワードのエージング情報を更新しないでください。 )libpam-ldapが必要です。そうしないと、パスワードが間もなく期限切れになることはユーザーに通知されません。
ありがたいことに、それらを組み合わせることができます。 libnss-ldapdとlibpam-ldapを併用して1年以上問題なく使用しています。
libpam-ldapdへの変換を余儀なくされた理由の1つは、LDAPサーバーにSSLを使用していることです。 libgcrypt "brokenness"のおかげで( Debianバグ566351 または buntuバグ23252 を参照してください、どちらも面白い)、これはSudoがlibpam-ldap&libnss-ldapのときに動作を停止することを意味しますLDAP/SSLで使用されます。
LDAPでSSLを使用する場合のオプション(およびなぜ使用しないのか)は、OpenSSLでlibpam-ldapを再コンパイルするか、libpam-ldapdを使用することです。