配置 PAM，使其使用 LDAP server_policy

要配置 PAM，使其使用 LDAP server_policy，请遵照为帐户管理配置的 pam_ldap 的示例 pam_conf 文件中的样例。向客户机的 /etc/pam.conf 文件中添加包含 pam_ldap.so.1 的行。此外，如果 pam.conf 文件样例中的任何 PAM 模块指定了 binding 标志和 server_policy 选项，则必须对该客户机的 /etc/pam.conf 文件中的对应模块使用相同的标志和选项。 而且，还要将 server_policy 选项添加到包含服务模块 pam_authtok_store.so.1 的行中。

启用 pam_ldap 帐户管理后，所有用户在每次登录系统时都必须提供口令。进行验证时必须提供登录口令。因此，使用 rsh、rlogin 或 ssh等工具进行的不基于口令的登录将会失败。

• binding 控制标志

  使用 binding 控制标志允许本地口令覆盖远程 (LDAP) 口令。例如，如果在本地文件和 LDAP 名称空间中都找到某一用户帐户，则与本地帐户关联的口令将优先于远程口令。因此，如果本地口令到期，即使远程 LDAP 口令仍有效，身份验证也会失败。

• server_policy 选项

  server_policy 选项指示 pam_unix_auth、pam_unix_account 和 pam_passwd_auth 忽略在 LDAP 名称空间中找到的用户，并允许 pam_ldap 执行身份验证或帐户验证。对于 pam_authtok_store，会向 LDAP 服务器传递一个未经加密的新口令。因此，该口令将根据服务器中配置的口令加密方案存储在目录中。有关更多信息，请参见 pam.conf(4) 和 pam_ldap(5)。