下列 pam_ldap 變更是 Solaris Express 10/04 發行版本中的新增功能,但帳號管理功能除外。此管理功能是 Software Express 試驗程式與 Solaris 9 12/02 發行版本中的新增功能。如需有關這些變更的更多資訊,請參閱「pam_ldap(5) 線上手冊」。
之前支援的 use_first_pass 和 try_first_pass 選項,在 Solaris 10 軟體發行版本中已淘汰。不再需要這些選項。這些選項可安全地從 pam.conf 移除,以後不會再出現。
您必須在驗證與密碼模組堆疊中將 pam_authtok_get 堆疊到 pam_ldap 之前,並 在 passwd_service_auth 堆疊中加入 pam_passwd_auth,以提供密碼提示。
之前支援的密碼更新功能在本發行版本改為使用 pam_authtok_store 搭配 server_policy 選項。
pam_ldap 帳號管理功能強化了 LDAP 命名服務的全面安全性。特別是,帳號管理功能可以執行以下作業:
允許追蹤密碼的老化和過期
防止使用者選擇普通或先前用過的密碼
在使用者密碼將過期時警告使用者
鎖定重複登入失敗的使用者
防止除授權系統管理員之外的使用者撤銷初始化的帳戶
無法為之前清單中的變更提供乾淨且自動的更新。因此,升級到 Solaris 10 或後續的發行版本無法自動更新現有的 pam.conf 檔案,以反映 pam_ldap 的變更。如果現有的 pam.conf 檔案包含 pam_ldap 配置,則 CLEANUP 檔案會在升級後通知您。請檢查 pam.conf 檔案,並視需要加以修改。
如需更多資訊,請參閱下列線上手冊:
「pam_passwd_auth(5) 線上手冊」
「pam_authtok_get(5) 線上手冊」
「pam_authtok_store(5) 線上手冊」
「pam.conf(4) 線上手冊」
如需有關 Solaris 命名和目錄服務的進一步資訊,請參閱「System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP)」。如需有關 Solaris 安全性功能的資訊,請參閱「System Administration Guide: Security Services」。