Я очень люблю libpam-ldapd
, использовали его в течение года теперь в производстве на довольно многих серверах Ubuntu. Я могу рекомендовать это libpam-ldap
.
Проект первоначально называют nss-pam-ldapd
и на его домашней странице можно найти список его самых больших преимуществ перед старым libpam-ldap
пакет.
Править: В сочетании с libpam-ldapd
на Ubuntu необходимо также изучить auth-client-config
пакет для корректного конфигурирования PAM и др.
Одна причина мы были вынуждены преобразовать в libpam-ldapd
это, мы используем SSL для наших серверов LDAP. Благодаря libgcrypt "уязвимости" (см. ошибку Debian 566351 или ошибку Ubuntu 23252, оба интересных), это означает это sudo
работа остановок, когда libpam-ldap
& libnss-ldap
используются с LDAP/SSL.
Ваши опции, если Вы хотите использовать SSL с LDAP (и почему не был бы Вы?) должны перекомпилировать libpam-ldap
с OpenSSL или использованием libpam-ldapd
.
Хотя libnss-ldapd
лучше, чем libnss-ldap
, практически во всех отношениях, libpam-ldapd
имеет одну важную недостаток: он не может обрабатывать LDAP ppolicy
, и мне не удалось найти никакой информации об изменении пароля с помощью расширенной операции LDAP (он может обрабатывать это прозрачно).
Если у вас есть LDAP без «теней» (если вы используете ppolicy
, вы, безусловно, будете использовать OpenLDAP как ppolicy
и smbk5pwd
don ' t обновить информацию об устаревании теневого пароля) вам потребуется libpam-ldap
, иначе пользователи не будут уведомлены о том, что их пароль скоро истечет.
К счастью, вы можете смешивать и сопоставлять их. Я'