Je configure l'authentification LDAP sur mon VPS personnel et Ubuntu a deux packages dans le même but: libpam-ldap
et libpam-ldapd
. Que dois-je utiliser?
Je configure l'authentification LDAP sur mon VPS personnel et Ubuntu a deux packages dans le même but: libpam-ldap
et libpam-ldapd
. Que dois-je utiliser?
Réponses:
Je l'aime beaucoup libpam-ldapd
, je l'utilise depuis un an maintenant en production sur plusieurs serveurs Ubuntu. Je peux le recommander libpam-ldap
.
Le projet est initialement appelé nss-pam-ldapd
et sur sa page d' accueil, vous pouvez trouver une liste de ses plus grands avantages par rapport à l'ancien libpam-ldap
package.
Edit: En conjonction avec libpam-ldapd
Ubuntu, vous devriez également regarder dans le auth-client-config
package pour configurer correctement PAM et al.
Bien que ce libnss-ldapd
soit mieux que libnss-ldap
dans pratiquement tous les domaines, le libpam-ldapd
a une lacune majeure: il ne peut pas gérer LDAP ppolicy
, et je n'ai trouvé aucune information sur le changement de mot de passe à l'aide de LDAP Extended Operation (il peut le gérer de manière transparente).
Si vous avez un LDAP gratuit "fantôme" (si vous l'utilisez, ppolicy
vous le ferez certainement si vous utilisez OpenLDAP comme les deux ppolicy
et smbk5pwd
ne mettez pas à jour les informations de vieillissement du mot de passe caché) dont vous avez besoin libpam-ldap
ou les utilisateurs ne seront pas informés que leur mot de passe expirera bientôt.
Heureusement, vous pouvez les mélanger et les assortir. J'utilise libnss-ldapd
avec libpam-ldap
depuis plus d'un an maintenant sans aucun problème.
L'une des raisons pour lesquelles nous avons été obligés de nous convertir libpam-ldapd
est que nous utilisons SSL pour nos serveurs LDAP. Grâce à la «rupture» de libgcrypt (voir le bogue Debian 566351 ou le bogue Ubuntu 23252 , tous deux divertissants), cela signifie que cela sudo
cesse de fonctionner lorsque libpam-ldap
& libnss-ldap
sont utilisés avec LDAP / SSL.
Vos options si vous souhaitez utiliser SSL avec LDAP (et pourquoi pas?) Sont de recompiler libpam-ldap
avec OpenSSL ou d'utiliser libpam-ldapd
.