Назад | Перейти на главную страницу

Могу ли я настроить pam_ldap без настройки nss?

На моих серверах у меня есть пользователи системы, снабженные Chef, и у меня нет желания предоставлять дополнительных пользователей этим машинам. Однако я бы хотел использовать pam для бэкэнда аутентификации для моего monit панель приборов.

Мне нужно настроить libnss-ldapd делать pam_ldap работай? Или я неправильно об этом думаю. Будет ли иметь значение, если я настрою nss если /etc/pam.d/common-* не использовать pam_ldap?

Смотря какой вкус pam_ldap мы говорим. Вы не упомянули ОС, но из libnss-ldapd Я понимаю, что мы говорим о некоторой разновидности Debian.

libpam-ldap и libpam-ldapd это два отдельных зверя, и оба реализуют pam_ldap.so. Версия ldapd зависит от nslcd (не libnss-ldapd), который можно использовать без включения компонента NSS. Я не помню, есть ли у nslcd жесткая зависимость для libnss-ldapd, но даже в этом случае на него будут ссылаться, только если вы добавите "ldap" в /etc/nsswitch.conf. Вам не нужно беспокоиться о том, что он каким-то образом что-то сделает с NSS за вашей спиной.

В этот момент вам, вероятно, интересно, в чем разница (и почему люди будут беспокоиться о добавленной зависимости), поэтому вот халява:

  • Модуль pam_ldap PADL (libpam-ldap) активно не развивается. С ним никогда не произойдет ничего нового и интересного.
  • Отсутствие демона имеет свою цену: у библиотеки нет возможности обмениваться соединениями или состоянием. Каждые вызов библиотеки должен активировать собственное уникальное соединение LDAP и разорвать его. Основная сила libpam-ldapd (и sssd, если на то пошло) заключаются в том, что серверный демон может обрабатывать фактическое соединение LDAP и поддерживать рабочее состояние в отношении его доступности.
  • libpam-ldapd имеет хотя бы одна ситуационная особенность которого нет ни в sssd, ни в другом модуле PAM.

Включение демона является скорее камнем преткновения, когда вы являются используя модуль NSS, потому что каждая отдельная программа, которой приходится независимо от времени ожидания при достижении LDAP-сервера, далеко не идеальна, и почему я завидую каждому младшему администратору Linux, которому никогда не приходилось учиться этому на собственном горьком опыте.

Итак, вы идете: вы можете избежать интеграции NSS и вы можете избежать демона nslcd в зависимости от выбранного вами модуля. Стратегия реализации зависит от вас.