次に示す pam_ldap の変更のうち、アカウント管理機能以外はすべて、Solaris Express 10/04 で新しく追加されました。この管理機能は、Software Express パイロットプログラムと Solaris 9 12/02 で新しく追加されました。これらの変更の詳細については、pam_ldap(5) のマニュアルページを参照してください。
これまでサポートされていた use_first_pass オプションと try_first_pass オプションは、この Solaris 10 ソフトウェアリリースで廃止されました。これらのオプションは必要なくなりました。これらのオプションは、pam.conf から削除しても問題はなく、何の通知もなく無視されます。
認証およびパスワードモジュールスタック内の pam_ldap の手前に pam_authtok_get を配置するとともに、passwd_service_auth スタック内に pam_passwd_auth を含め、パスワードプロンプトを指定する必要があります。
このリリースでは、これまでサポートされていたパスワード更新機能に代わり、server_policy オプション付きの pam_authtok_store が使用されるようになりました。
pam_ldap のアカウント管理機能により、LDAP ネームサービス全体のセキュリティーが強化されます。特に、アカウント管理機能により次のようなことが行われます。
古いパスワードや、期限切れのパスワードを追跡できます
ありふれたパスワードや、以前使ったことのあるパスワードをユーザーが選択できないようにします。
パスワードの期限が切れそうなユーザーに警告を出します。
続けてログインに失敗したユーザーをロックします。
承認されたシステム管理者以外のユーザーが、初期化されたアカウントを無効にすることを防ぎます
上記の変更点に対する完全な自動更新は提供されていません。したがって、Solaris 10 以降のリリースにアップグレードしても、既存の pam.conf ファイルに pam_ldap の変更が自動的に反映されることはありません。既存の pam.conf ファイルに pam_ldap の設定が含まれている場合、アップグレード後に CLEANUP ファイルからその旨が通知されます。pam.conf ファイルの内容を確認し、必要に応じて変更してください。
詳細は、次のマニュアルページを参照してください。
Solaris ネームサービスとディレクトリサービスについては、『Solaris のシステム管理 (ネーミングとディレクトリサービス : DNS、NIS、LDAP 編)』を参照してください。Solaris のセキュリティー機能については、『Solaris のシステム管理 (セキュリティサービス)』を参照してください。