pam_ldap の変更点

次に示す pam_ldap の変更のうち、アカウント管理機能以外はすべて、Solaris Express 10/04 で新しく追加されました。この管理機能は、Software Express パイロットプログラムと Solaris 9 12/02 で新しく追加されました。これらの変更の詳細については、pam_ldap(5) のマニュアルページを参照してください。

• これまでサポートされていた use_first_pass オプションと try_first_pass オプションは、この Solaris 10 ソフトウェアリリースで廃止されました。これらのオプションは必要なくなりました。これらのオプションは、pam.conf から削除しても問題はなく、何の通知もなく無視されます。

• 認証およびパスワードモジュールスタック内の pam_ldap の手前に pam_authtok_get を配置するとともに、passwd_service_auth スタック内に pam_passwd_auth を含め、パスワードプロンプトを指定する必要があります。

• このリリースでは、これまでサポートされていたパスワード更新機能に代わり、server_policy オプション付きの pam_authtok_store が使用されるようになりました。

• pam_ldap のアカウント管理機能により、LDAP ネームサービス全体のセキュリティーが強化されます。特に、アカウント管理機能により次のようなことが行われます。

  • 古いパスワードや、期限切れのパスワードを追跡できます

  • ありふれたパスワードや、以前使ったことのあるパスワードをユーザーが選択できないようにします。

  • パスワードの期限が切れそうなユーザーに警告を出します。

  • 続けてログインに失敗したユーザーをロックします。

  • 承認されたシステム管理者以外のユーザーが、初期化されたアカウントを無効にすることを防ぎます

上記の変更点に対する完全な自動更新は提供されていません。したがって、Solaris 10 以降のリリースにアップグレードしても、既存の pam.conf ファイルに pam_ldap の変更が自動的に反映されることはありません。既存の pam.conf ファイルに pam_ldap の設定が含まれている場合、アップグレード後に CLEANUP ファイルからその旨が通知されます。pam.conf ファイルの内容を確認し、必要に応じて変更してください。

詳細は、次のマニュアルページを参照してください。

• pam_passwd_auth(5)

• pam_authtok_get(5)

• pam_authtok_store(5)

• pam.conf(4)

Solaris ネームサービスとディレクトリサービスについては、『Solaris のシステム管理 (ネーミングとディレクトリサービス : DNS、NIS、LDAP 編)』を参照してください。Solaris のセキュリティー機能については、『Solaris のシステム管理 (セキュリティサービス)』を参照してください。