ログインできない
LDAP クライアントは、ログイン時に PAMモジュールを使用してユーザーを認証します。UNIX 標準の PAM モジュールでは、パスワードをサーバーから読み込みクライアント側で検査します。この動作は、次のいずれかの理由で失敗する場合があります。
-
/etc/nsswitch.conf ファイル内の passwd サービスが ldap を使用しない
-
プロキシエージェントが、サーバーリスト上のユーザーの userPassword 属性を読み取ることができない。プロキシエージェントが比較のためにパスワードをクライアントに返すので、少なくともプロキシエージェントはパスワードを読めなければならない。pam_ldap に関しては、パスワードへの読み取りアクセスを必要としない
-
プロキシエージェントが適切なパスワードを保持していない
-
該当するエントリに shadowAccount オブジェクトクラスが定義されていない
-
パスワードが定義されていない
ldapaddent を使用する場合、-p オプションを使用してパスワードをユーザーエントリに確実に追加する必要があります。ldapaddent を -p オプションなしで実行した場合、ldapaddent を使用して /etc/shadow ファイルを追加しない限り、ユーザーのパスワードはディレクトリに格納されません。
-
LDAP サーバーに到達することができない
サーバーの状態を確認します。
# /usr/lib/ldap/ldap_cachemgr -g
-
pam.conf の構成が不正である
-
LDAP 名前空間でユーザーが定義されていない
-
pam_unix で NS_LDAP_CREDENTIAL_LEVEL が anonymous に設定されており、匿名ユーザーが userPassword を使用できない
-
パスワードが crypt 形式で格納されていない
-
アカウント管理をサポートするように pam_ldap が構成されている場合は、次のいずれかの原因でログインに失敗します。
-
ユーザーのパスワード期限が切れている
-
ログインを何回も行ったために、ユーザーアカウントがロックされる
-
管理者がユーザーアカウントを非アクティブにした
-
rsh、rlogin、ssh、sftp などのパスワードを使用しないプログラムによってユーザーがログインしようとした
-
-
ユーザー別の認証および sasl/GSSAPI を使用している場合、一部の Kerberos コンポーネントまたは pam_krb5 構成が正しく設定されません。この問題を解決する方法については、『Solaris のシステム管理 (セキュリティサービス)』を参照してください。
- © 2010, Oracle Corporation and/or its affiliates