pam_ldap 更改

下列 pam_ldap 更改是 Solaris Express 10/04 发行版中的新增内容，但帐户管理功能除外。此管理功能是 Software Express 试点计划和 Solaris 9 12/02 发行版中的新增功能。有关这些更改的更多信息，请参见 pam_ldap(5) 手册页。

• 自本 Solaris 10 软件发行版起，以前支持的 use_first_pass 和 try_first_pass 选项已废弃。不再使用这两个选项。可以安全地从 pam.conf 中删除这两个选项，也可以将其忽略。

• 必须通过以下方式提供口令提示：在验证和口令模块堆栈中将 pam_authtok_get 堆放在 pam_ldap 之前，并将 pam_passwd_auth 放入 passwd_service_auth 堆栈中。

• 此发行版使用带 server_policy 选项的 pam_authtok_store 来代替以前支持的口令更新功能。

• pam_ldap 帐户管理功能增强了 LDAP 命名服务的整体安全性。具体来说，帐户管理功能执行以下操作：

  • 允许跟踪口令的老化和过期

  • 防止用户选择易破解的或以前使用过的口令

  • 如果口令即将过期，可以向用户发出警告

  • 如果多次登录失败，则禁止用户登录

  • 防止除授权的系统管理员以外的用户停用已初始化的帐户

无法为以前的列表中的更改提供全新的自动更新。因此，升级到 Solaris 10 或其后续版本并不能自动更新现有的 pam.conf 文件以反映 pam_ldap 的更改。如果现有的 pam.conf 文件中包含 pam_ldap 配置，则 CLEANUP 文件会在升级之后向您发送通知。请根据需要对 pam.conf 文件进行检查和修改。

有关详细信息，请参见以下手册页：

• pam_passwd_auth(5)

• pam_authtok_get(5)

• pam_authtok_store(5)

• pam.conf(4)

有关 Solaris 命名和目录服务的详细信息，请参见《系统管理指南：名称和目录服务（DNS、NIS 和 LDAP）》。有关 Solaris 安全性功能的信息，请参见《System Administration Guide: Security Services》。