pam_ldap の変更点

Solaris 10 OS リリースでは、pam_ldap が次に示すように変更されました。詳細については、pam_ldap(5) のマニュアルページを参照してください。

• 以前サポートされていた use_first_pass および try_first_pass のオプションは、Solaris 10 ソフトウェアリリースでサポートされなくなりました。このオプションは不要のため pam.conf から削除しても問題はなく、そのままにしておいても構いません。将来のリリースで削除されることもあります。

• パスワードプロンプトに対応する必要があります。これは、認証およびパスワードモジュールのスタックで pam_ldap の前に pam_authtok_get をスタックし、passwd サービスの auth スタックに pam_passwd_auth を含めることによって行います。

• 以前サポートされていたパスワード更新機能は、以前使用が推奨されていた、pam_authtok_store と server_policy オプションにこのリリースで置き換わります。

• pam_ldap のアカウント管理機能は、LDAP ネームサービスのセキュリティー全般を強化します。特に、アカウント管理機能により次のようなことが行われます。

  • 古いパスワードや、期限切れのパスワードを追跡できます

  • ありふれたパスワードや、以前使ったことのあるパスワードをユーザーが選択できないようにします。

  • パスワードの期限が切れそうなユーザーに警告を出します。

  • 続けてログインに失敗したユーザーをロックします。

  • 許可されたシステム管理者以外のユーザーが、初期化されたアカウントを無効にできないようにします。

上記の変更に対して完全な自動更新は行うことができません。すなわち、Solaris 10 以降のリリースにアップグレードしても、既存の pam.conf ファイルは自動的に更新されず、pam_ldap の変更は反映されません。既存の pam.conf ファイルに pam_ldap の構成が含まれる場合は、アップグレード後の CLEANUP ファイルによって確認できます。pam.conf ファイルを調べて、必要に応じて変更してください。

詳細については、pam_passwd_auth(5)、pam_authtok_get(5)、pam_authtok_store(5)、および pam.conf(4) のマニュアルページを参照してください。