Я настраиваю аутентификацию LDAP на своем личном VPS, и в Ubuntu есть два пакета для той же цели: libpam-ldap и libpam-ldapd. Что мне использовать?
Я очень люблю libpam-ldapd, уже год используют его в производстве на довольно многих серверах Ubuntu. Я могу рекомендовать это libpam-ldap.
Первоначально проект назывался nss-pam-ldapd и дальше его домашняя страница вы можете найти список его самых больших преимуществ перед старым libpam-ldap пакет.
Изменить: в сочетании с libpam-ldapd в Ubuntu вам также следует изучить auth-client-config пакет для правильной настройки PAM et al.
Пока libnss-ldapd лучше, чем libnss-ldap практически во всех отношениях libpam-ldapd имеет один серьезный недостаток: он не может обрабатывать LDAP. ppolicy, и я не смог найти никакой информации об изменении пароля с помощью расширенной операции LDAP (он может обрабатывать это прозрачно).
Если у вас есть LDAP без теней (если вы используете ppolicy вы наверняка сделаете это, если будете использовать OpenLDAP как ppolicy и smbk5pwd не обновляйте информацию о устаревании теневого пароля) вам нужно libpam-ldap или пользователи не будут уведомлены о том, что их пароль скоро истечет.
К счастью, вы можете смешивать и сочетать их. Я использовал libnss-ldapd вместе с libpam-ldap уже больше года без проблем.
Одна из причин, по которой мы были вынуждены перейти на libpam-ldapd в том, что мы используем SSL для наших серверов LDAP. Благодаря «ломкости» libgcrypt (см. Ошибка Debian 566351 или Ошибка Ubuntu 23252, оба развлекательные), это означает, что sudo перестает работать, когда libpam-ldap & libnss-ldap используются с LDAP / SSL.
Ваши варианты, если вы хотите использовать SSL с LDAP (а почему бы и нет?), Должны перекомпилировать libpam-ldap с OpenSSL или используйте libpam-ldapd.