PAM 和更改口令
可以使用 passwd(1) 更改口令。要更改口令,用户必须对 userPassword 属性具有写入权限。请记住,对于此操作,passwd-cmd 的 serviceAuthenticationMethod 会覆盖 authenticationMethod。在传输过程中可能未对当前的口令进行加密,具体取决于所使用的验证方法。
对于 pam_unix,新的 userPassword 属性在写入 LDAP 之前会使用 UNIX crypt 格式进行加密和标记。因此,无论使用哪种验证方法绑定到服务器,在传输过程中都会对新口令进行加密。有关更多信息,请参见 pam_authtok_store(5) 手册页。
从 Solaris 10 软件发行版开始,pam_ldap 不再支持口令更新。以前建议使用的带有 server_policy 选项的 pam_authtok_store 现已取代pam_ldap 口令更新功能。使用 pam_authtok_store 时,新口令将以明文形式发送到 LDAP 服务器。因此,为了确保保密性,请使用 TLS。如果不使用 TLS,新的 userPassword 很容易被窥探。 如果使用 Sun Java System Directory Server 设置未标记的口令,则该软件会使用 passwordStorageScheme 属性对口令进行加密。有关 passwordStorageScheme 的更多信息,请参见所用 Sun Java System Directory Server 版本的管理指南中有关用户帐户管理的章节。
注意 –
设置 passwordStorageScheme 属性时,需要考虑以下配置问题。如果 NIS、NIS+ 或另一台使用 pam_unix 的客户机将 LDAP 用作系统信息库,则 passwordStorageScheme 必须为 crypt。此外,如果在 Sun Java System Directory Server 上结合使用 pam_ldap 和 sasl/digest-MD5,则必须将 passwordStorageScheme 设置为 clear。
- © 2010, Oracle Corporation and/or its affiliates