跳过导航链接 | |
退出打印视图 | |
系统管理指南:命名和目录服务(DNS、NIS 和 LDAP) Oracle Solaris 10 8/11 Information Library (简体中文) |
4. 网络信息服务 (Network Information Service, NIS)(概述)
11. 为使用 LDAP 客户机设置 Sun Java System Directory Server(任务)
Solaris 10 OS 发行版中引入了几项与 pam_ldap 有关的改动,下面的内容将介绍这些改动。有关更多信息,请参见 pam_ldap(5) 手册页。
从 Solaris 10 软件发行版开始,以前受支持的 use_first_pass 和 try_first_pass 选项将被废弃。因为以后不再需要这些选项,所以可以从 pam.conf 中安全地删除它们,也可以将其自动忽略。以后的发行版中将不再包括这些选项。
必须通过以下方式提供口令提示:先将 pam_authtok_get 放入验证和口令模块栈中,再将 pam_ldap 入栈,并将 pam_passwd_auth 放入 passwd 服务的 auth 栈中。
此发行版使用以前推荐使用的、带 server_policy 选项的 pam_authtok_store 来代替以前支持的口令更新功能。
pam_ldap 帐户管理功能增强了 LDAP 名称服务的整体安全性。具体来说,帐户管理功能执行以下操作:
允许跟踪口令的失效和过期
防止用户选择易破解的或以前使用过的口令
如果口令即将过期,可以向用户发出警告
如果多次登录失败,则禁止用户登录
防止除授权的系统管理员以外的用户停用已初始化的帐户
不可能为上面列出的更改提供全新的自动更新。因此,升级到 Solaris 10 或更高发行版时将不会自动更新现有的 pam.conf 文件来反映对 pam_ldap 所作的更改。如果现有的 pam.conf 文件中包含 pam_ldap 配置,系统在通过 CLEANUP 文件升级之后将通知您。您需要检查 pam.conf 文件并根据需要修改该文件。
有关更多信息,请参见 pam_passwd_auth(5)、pam_authtok_get(5)、pam_authtok_store(5) 和 pam.conf(4) 手册页。