配置目录服务器以启用帐户管理

为了让 pam_ldap 能够正确工作，必须在服务器上正确配置口令和帐户锁定策略。可以使用 Directory Server Console 或 ldapmodify 来为 LDAP 目录配置帐户管理策略。有关配置过程和更多信息，请参见所用 Sun Java System Directory Server 版本的管理指南中的“用户帐户管理”一章。

启用 pam_ldap 帐户管理后，所有用户在每次登录系统时都必须提供口令。进行验证时必须提供登录口令。因此，使用 rsh、rlogin 或 ssh 等工具进行的不基于口令的登录将会失败。

绝不应当允许 proxy 用户的口令过期。 如果代理口令过期，使用 proxy 凭证级别的客户机将无法从服务器检索名称服务信息。为了确保代理用户的口令不过期，请使用以下脚本修改代理帐户：

# ldapmodify -h ldapserver -D administrator DN \

-w  administrator password <<EOF 

dn: proxy user DN

DNchangetype: modify

replace: passwordexpirationtime

passwordexpirationtime: 20380119031407Z

EOF

pam_ldap 帐户管理依赖 Sun Java System Directory Server 来为用户维护和提供口令失效和帐户过期信息。目录服务器在验证用户帐户时不解释阴影项中的相应数据。但是，pam_unix 会检查阴影数据以确定帐户是否处于锁定状态或者口令是否已失效。由于 LDAP 名称服务或目录服务器不会使阴影数据保持最新，因此 pam_unix 不应当基于阴影数据授予访问权限。阴影数据是使用 proxy 标识检索的。 因此，请不要允许 proxy 用户对 userPassword 属性具有读取访问权限。拒绝 proxy 用户对 userPassword 的读取访问权限可防止 pam_unix 进行无效的帐户验证。