libpam-ldap ou libpam-ldapd?

Réponses:

10

Je l'aime beaucoup libpam-ldapd, je l'utilise depuis un an maintenant en production sur plusieurs serveurs Ubuntu. Je peux le recommander libpam-ldap.

Le projet est initialement appelé nss-pam-ldapdet sur sa page d' accueil, vous pouvez trouver une liste de ses plus grands avantages par rapport à l'ancien libpam-ldappackage.

Edit: En conjonction avec libpam-ldapdUbuntu, vous devriez également regarder dans le auth-client-configpackage pour configurer correctement PAM et al.

daff
la source
7

Bien que ce libnss-ldapdsoit mieux que libnss-ldapdans pratiquement tous les domaines, le libpam-ldapda une lacune majeure: il ne peut pas gérer LDAP ppolicy, et je n'ai trouvé aucune information sur le changement de mot de passe à l'aide de LDAP Extended Operation (il peut le gérer de manière transparente).

Si vous avez un LDAP gratuit "fantôme" (si vous l'utilisez, ppolicyvous le ferez certainement si vous utilisez OpenLDAP comme les deux ppolicyet smbk5pwdne mettez pas à jour les informations de vieillissement du mot de passe caché) dont vous avez besoin libpam-ldapou les utilisateurs ne seront pas informés que leur mot de passe expirera bientôt.

Heureusement, vous pouvez les mélanger et les assortir. J'utilise libnss-ldapdavec libpam-ldapdepuis plus d'un an maintenant sans aucun problème.

Hubert Kario
la source
5

L'une des raisons pour lesquelles nous avons été obligés de nous convertir libpam-ldapdest que nous utilisons SSL pour nos serveurs LDAP. Grâce à la «rupture» de libgcrypt (voir le bogue Debian 566351 ou le bogue Ubuntu 23252 , tous deux divertissants), cela signifie que cela sudocesse de fonctionner lorsque libpam-ldap& libnss-ldapsont utilisés avec LDAP / SSL.

Vos options si vous souhaitez utiliser SSL avec LDAP (et pourquoi pas?) Sont de recompiler libpam-ldapavec OpenSSL ou d'utiliser libpam-ldapd.

Zanchey
la source
Wow, c'est un fil assez fou. Mais il semble qu'ils abandonnent libgcrypt au profit de l'ortie?
jldugger
Ce n'est pas encore arrivé. Quoi qu'il en soit, lipam-ldapd est probablement "meilleur" du point de vue de la pureté architecturale et de la sécurité, mais si nslcd tombe en panne, vous pourriez être SOL.
Zanchey