帐户管理

LDAP 名称服务可以利用 Sun Java System Directory Server 中的口令和帐户锁定策略支持。可以将 pam_ldap(5) 配置为支持用户帐户管理。将 passwd(1) 和正确的 PAM 配置结合使用时，将遵循 Sun Java System Directory Server 口令策略所设置的口令语法规则。

通过 pam_ldap(5) 可以支持以下帐户管理功能。这些功能取决于 Sun Java System Directory Server 的口令和帐户锁定策略配置。可以根据需要启用任意功能。

• 口令失效和到期通知

  用户必须按照计划更改其口令。如果在所配置的时间内未更改口令，口令将过期。过期的口令会导致用户验证失败。

  用户在到期警告期间内登录时，会看到一条警告消息。该消息指出口令在多少小时或多少天之后到期。

• 口令语法检查

  新口令必须符合口令长度的最低要求。此外，口令不能与用户目录项中 uid、cn、sn 或 mail 属性的值相匹配。

• 历史记录中口令的检查

  用户不能重复使用口令。如果用户尝试将口令更改为以前所使用过的口令，passwd(1) 将失败。LDAP 管理员可以配置保留在服务器历史记录列表中的口令数目。

• 用户帐户锁定

  连续验证失败达到指定次数后，会锁定用户帐户。在管理员已取消激活用户帐户的情况下，也会锁定用户帐户。除非帐户锁定时间已过或者管理员重新激活被锁定的帐户，否则验证将一直失败。

前面介绍的帐户管理功能仅适用于 Sun Java System Directory Server。 有关在服务器上配置口令和帐户锁定策略的信息，请参见所用 Sun Java System Directory Server 版本的管理指南中的“用户帐户管理”一章。 另请参见为帐户管理配置的 pam_ldap 的示例 pam_conf 文件。请勿针对 proxy 帐户启用帐户管理。

在 Sun Java System Directory Server 上配置口令和帐户锁定策略之前，请确保所有主机都使用具有 pam_ldap 帐户管理功能的“最新”LDAP 客户机。

另外，还应确保客户机上具有已正确配置的 pam.conf(4) 文件。否则，当 proxy 或用户口令到期后，LDAP 名称服务将无法工作。

启用 pam_ldap 帐户管理之后，所有用户在每次登录系统时都必须提供口令。进行验证时必须提供登录口令。因此，使用 rsh、rlogin 或 ssh 等工具进行的不基于口令的登录将会失败。