pam_ldap 변경

계정 관리 기능을 제외한 다음의 pam_ldap 변경 사항이 Solaris Express 10/04 릴리스에서 새로 추가되었습니다. 이 관리 기능은 Software Express 파일럿 프로그램과 Solaris 9 12/02 릴리스의 새로운 기능입니다. 이들 변경 사항에 대한 자세한 내용은 pam_ldap(5) 매뉴얼 페이지를 참조하십시오.

• 이전에 지원되었던 use_first_pass 및 try_first_pass 옵션은 Solaris 10 소프트웨어 릴리스부터 더 이상 사용하지 않습니다. 이들 옵션은 더 이상 필요하지 않습니다. 옵션은 pam.conf에서 안전하게 제거될 수 있으며 확인 없이 무시됩니다.

• 비밀번호 프롬프트 표시는 반드시 인증 및 비밀번호 모듈 스택의 pam_ldap 전에 pam_authtok_get을 스택에 넣고 passwd_service_auth 스택에 pam_passwd_auth을 포함하여 제공해야 합니다.

• 이전에 지원된 비밀번호 업데이트 기능은 이 릴리스에서 server_policy 옵션과 함께 pam_authtok_store를 사용하는 것으로 대체되었습니다.

• pam_ldap 계정 관리 기능은 LDAP 이름 지정 서비스의 전체 보안을 강화합니다. 구체적으로 계정 관리 기능은 다음을 수행합니다.

  • 비밀번호 에이징 및 만료를 추적할 수 있도록 합니다.

  • 사용자가 너무 평범한 비밀번호 또는 이전에 사용한 비밀번호를 선택하지 않도록 합니다.

  • 비밀번호 만료 시기가 가까워지면 사용자에게 경고합니다.

  • 반복해서 로그인에 실패한 사용자를 잠급니다.

  • 허가된 시스템 관리자가 아닌 다른 사용자가 초기화된 계정을 비활성화할 수 없도록 방지

이전 목록에서는 명확하며 자동화된 업데이트를 변경용으로 제공할 수 없었습니다. 따라서 Solaris 10 이후의 릴리스로 업그레이드하는 경우에도 기존 pam.conf 파일이 pam_ldap의 변경 사항을 반영하도록 자동으로 업데이트할 수 없습니다. 기존 pam.conf 파일에 pam_ldap 구성이 있는 경우 업그레이드 후에 CLEANUP 파일로 통지를 받습니다. pam.conf 파일을 확인하고 필요한 경우 수정합니다.

자세한 내용은 다음의 매뉴얼 페이지를 참조하십시오.

• pam_passwd_auth(5)

• pam_authtok_get(5)

• pam_authtok_store(5)

• pam.conf(4)

Solaris 이름 지정 및 디렉토리 서비스에 대한 자세한 내용은 System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP)를 참조하십시오. Solaris 보안 기능에 대한 내용은 System Administration Guide: Security Services를 참조하십시오.