Поймите PAM и NSS

Это помогает разобрать в голове такие вещи:

• NSS - Модульная система для управления тем, как различные базы данных уровня ОС собираются в памяти. Это включает (но не ограничивается) passwd , группу , shadow (это важно примечание) и хосты . При поиске UID используется база данных passwd , а при поиске GID используется база данных group .

• PAM - модульная система для аутентификации и учета на основе служб. В отличие от NSS, вы не расширяете существующие базы данных; Модули PAM могут использовать любую логику, которая им нравится, хотя логины оболочки по-прежнему зависят от баз данных passwd и group NSS. (вам всегда нужен поиск UID / GID)

Важное отличие состоит в том, что PAM ничего не делает сам по себе. Если приложение не связывается с библиотекой PAM и не обращается к ней, PAM никогда не будет использоваться. NSS является ядром операционной системы, а базы данных достаточно распространены для нормальной работы ОС.

Теперь, когда это у нас есть, вот кривая точка: в то время как pam_ldap является популярным способ аутентификации по LDAP, это не способ только .

• Если shadow указывает на службу ldap в /etc/nsswitch.conf , любой проверка подлинности, которая выполняется в теневой базе данных, будет успешной, если атрибуты для этих сопоставлений теневых полей (в частности, поле зашифрованного пароля) присутствуют в LDAP и разрешают вход в систему.
  • Это, в свою очередь, означает, что pam_unix.so потенциально может привести к аутентификации по LDAP, поскольку он аутентифицируется по теневой базе данных. (который управляется NSS и может указывать на LDAP)
• Если модуль PAM выполняет вызовы против демона, который, в свою очередь, запрашивает базу данных LDAP (скажем, pam_sss.so , который перехватывает ] sssd ), возможно, будет ссылка на LDAP.