我可以在不配置 nss 的情況下配置 pam_ldap 嗎？

在我的伺服器上，我為我的系統使用者配置了 Chef，並且不希望將任何其他使用者暴露給這些機器。但是，我想將pam其用於monit儀表板的身份驗證後端。

我需要設置libnss-ldapd才能pam_ldap工作嗎？還是我想錯了。nss如果我/etc/pam.d/common-*不使用設置，這真的很重要pam_ldap嗎？

這取決於pam_ldap我們在談論什麼口味。您沒有提到作業系統，但據libnss-ldapd我所知，我們正在談論一些 Debian。

libpam-ldap並且libpam-ldapd是兩個獨立的野獸，都實現了 pam_ldap.so。ldapd 風格依賴於 nslcd（不是libnss-ldapd），可以在不啟用 NSS 組件的情況下使用它。我不記得 nslcd 是否對 . 有硬依賴libnss-ldapd，但即便如此，只有在/etc/nsswitch.conf. 您不必擔心它會以某種方式在背後使用 NSS。

在這一點上，您可能想知道有什麼區別（以及為什麼人們會為添加的依賴而煩惱），所以這是一個免費贈品：

• PADL 的 pam_ldap 模組 ( libpam-ldap) 沒有積極開發。它不會發生任何新的和有趣的事情。
• 缺少守護程序是有代價的：庫無法共享連接或狀態。庫的每次呼叫都必須啟動它自己唯一的 LDAP 連接並將其拆除。libpam-ldapd（以及 sssd的主要優勢）是後端守護程序可以處理實際的 LDAP 連接並保持關於其可達性的執行狀態。
• libpam-ldapd具有至少一個sssd 或其他 PAM 模組中不存在的情境特徵。

當你使用 NSS 模組時，包含一個守護程序更像是一個癥結所在，因為每個單獨的程序在到達 LDAP 伺服器時都必須獨立超時，這並不理想，為什麼我羨慕每一個從未需要過的年輕 Linux 管理員很難學到這一點。

所以你去：你可以避免 NSS 集成，你可以根據你選擇的模組避免 nslcd 守護程序。實施策略由您決定。

引用自：https://serverfault.com/questions/665435