Cambios en pam_ldap

Los siguientes cambios en pam_ldap se introdujeron en la versión Solaris Express 10/04, excepto la función de gestión de cuentas. Esta función de gestión se introdujo en el programa piloto Software Express y en Solaris 9 12/02. Consulte la página de comando man pam_ldap(5) para obtener más información acerca de estos cambios.

• Las opciones use_first_pass y try_first_pass, que antes se admitían, están obsoletas a partir de esta versión de Solaris 10, puesto que ya no son necesarias. Las opciones se pueden eliminar con total seguridad de pam.conf y se hará caso omiso de ellas.

• La solicitud de la contraseña debe proporcionarse apilando pam_authtok_get antes que pam_ldap en las pilas del módulo de contraseña e incluyendo pam_passwd_auth en la pila passwd_service_auth.

• La función de actualización de la contraseña que se admitía anteriormente se ha sustituido en esta versión por el uso de pam_authtok_store con la opción server_policy.

• La función de gestión de cuentas pam_ldap potencia la seguridad general del servicio de nombres LDAP. En concreto, la función de gestión de cuentas realiza las siguientes acciones:

  • Permite efectuar el seguimiento de la caducidad de las contraseñas

  • Impide a los usuarios elegir contraseñas triviales o usadas con anterioridad

  • Advierte a los usuarios cuando sus contraseñas están a punto de caducar

  • Bloquea a los usuarios después de varios intentos de inicio de sesión fallidos

  • Impide a cualquier usuario que no sea el administrador del sistema autorizado desactivar cuentas inicializadas

No se puede proporcionar una actualización limpia y automatizada para los cambios indicados en la lista anterior. Por lo tanto, durante una actualización a Solaris 10 o a una versión posterior, no se puede actualizar automáticamente el archivo pam.conf existente para que refleje los cambios de pam_ldap. Si el archivo pam.conf existente contiene una configuración pam_ldap, el archivo CLEANUP le informa al respecto después de la actualización. Compruebe el archivo pam.conf y modifíquelo si es necesario.

Consulte las siguientes páginas de comando man para obtener más información:

• pam_passwd_auth(5)

• pam_authtok_get(5)

• pam_authtok_store(5)

• pam.conf(4)

Para obtener más información sobre los servicios de nombres y directorios de Solaris, consulte la System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) . Para obtener más información acerca de las características de seguridad de Solaris, consulte la System Administration Guide: Security Services .