Ldap
我可以在不配置 nss 的情況下配置 pam_ldap 嗎?
在我的伺服器上,我為我的系統使用者配置了 Chef,並且不希望將任何其他使用者暴露給這些機器。但是,我想將
pam
其用於monit
儀表板的身份驗證後端。我需要設置
libnss-ldapd
才能pam_ldap
工作嗎?還是我想錯了。nss
如果我/etc/pam.d/common-*
不使用設置,這真的很重要pam_ldap
嗎?
這取決於
pam_ldap
我們在談論什麼口味。您沒有提到作業系統,但據libnss-ldapd
我所知,我們正在談論一些 Debian。
libpam-ldap
並且libpam-ldapd
是兩個獨立的野獸,都實現了 pam_ldap.so。ldapd 風格依賴於 nslcd(不是libnss-ldapd
),可以在不啟用 NSS 組件的情況下使用它。我不記得 nslcd 是否對 . 有硬依賴libnss-ldapd
,但即便如此,只有在/etc/nsswitch.conf
. 您不必擔心它會以某種方式在背後使用 NSS。在這一點上,您可能想知道有什麼區別(以及為什麼人們會為添加的依賴而煩惱),所以這是一個免費贈品:
- PADL 的 pam_ldap 模組 (
libpam-ldap
) 沒有積極開發。它不會發生任何新的和有趣的事情。- 缺少守護程序是有代價的:庫無法共享連接或狀態。庫的每次呼叫都必須啟動它自己唯一的 LDAP 連接並將其拆除。
libpam-ldapd
(以及 sssd的主要優勢)是後端守護程序可以處理實際的 LDAP 連接並保持關於其可達性的執行狀態。libpam-ldapd
具有至少一個sssd 或其他 PAM 模組中不存在的情境特徵。當你使用 NSS 模組時,包含一個守護程序更像是一個癥結所在,因為每個單獨的程序在到達 LDAP 伺服器時都必須獨立超時,這並不理想,為什麼我羨慕每一個從未需要過的年輕 Linux 管理員很難學到這一點。
所以你去:你可以避免 NSS 集成,你可以根據你選擇的模組避免 nslcd 守護程序。實施策略由您決定。