Ldap

我可以在不配置 nss 的情況下配置 pam_ldap 嗎?

  • February 6, 2015

在我的伺服器上,我為我的系統使用者配置了 Chef,並且不希望將任何其他使用者暴露給這些機器。但是,我想將pam其用於monit儀表板的身份驗證後端。

我需要設置libnss-ldapd才能pam_ldap工作嗎?還是我想錯了。nss如果我/etc/pam.d/common-*不使用設置,這真的很重要pam_ldap嗎?

這取決於pam_ldap我們在談論什麼口味。您沒有提到作業系統,但據libnss-ldapd我所知,我們正在談論一些 Debian。

libpam-ldap並且libpam-ldapd是兩個獨立的野獸,都實現了 pam_ldap.so。ldapd 風格依賴於 nslcd(不是libnss-ldapd),可以在不啟用 NSS 組件的情況下使用它。我不記得 nslcd 是否對 . 有硬依賴libnss-ldapd,但即便如此,只有在/etc/nsswitch.conf. 您不必擔心它會以某種方式在背後使用 NSS。

在這一點上,您可能想知道有什麼區別(以及為什麼人們會為添加的依賴而煩惱),所以這是一個免費贈品:

  • PADL 的 pam_ldap 模組 ( libpam-ldap) 沒有積極開發。它不會發生任何新的和有趣的事情。
  • 缺少守護程序是有代價的:庫無法共享連接或狀態。庫的每次呼叫都必須啟動它自己唯一的 LDAP 連接並將其拆除。libpam-ldapd(以及 sssd的主要優勢)是後端守護程序可以處理實際的 LDAP 連接並保持關於其可達性的執行狀態。
  • libpam-ldapd具有至少一個sssd 或其他 PAM 模組中不存在的情境特徵。

當你使用 NSS 模組時,包含一個守護程序更像是一個癥結所在,因為每個單獨的程序在到達 LDAP 伺服器時都必須獨立超時,這並不理想,為什麼我羨慕每一個從未需要過的年輕 Linux 管理員很難學到這一點。

所以你去:你可以避免 NSS 集成,你可以根據你選擇的模組避免 nslcd 守護程序。實施策略由您決定。

引用自:https://serverfault.com/questions/665435