Solaris 10 OS 发行版中对 pam_ldap 引进了几项改动,下面的内容介绍了这些改动。有关更多信息,请参见 pam_ldap(5) 手册页。
从 Solaris 10 软件发行版开始,以前受支持的 use_first_pass 和 try_first_pass 选项已被废弃。将不再需要这些选项,可以从 pam.conf 中安全地删除它们,也可以将其自动忽略。以后的版本中将不再包括这些选项。
必须通过以下方式提供口令提示:先将 pam_authtok_get 放入验证和口令模块栈中,再将 pam_ldap 入栈,并将 pam_passwd_auth 放入 passwd 服务的 auth 栈中。
此发行版使用以前推荐使用的、带 server_policy 选项的 pam_authtok_store 来代替以前支持的口令更新功能。
pam_ldap 帐户管理功能增强了 LDAP 名称服务的整体安全性。具体来说,帐户管理功能执行以下操作:
允许跟踪口令更新和过期
防止用户选择易破解的或以前使用过的口令
如果口令即将过期,可以向用户发出警告
如果多次登录失败,则禁止用户登录
防止除授权的系统管理员以外的用户停用已初始化的帐户
不可能为上面列出的更改提供全新的自动更新。因此,在升级到 Solaris 10 或更高发行版时将不会自动更新现有的 pam.conf 文件以反映对 pam_ldap 进行的更改。如果现有的 pam.conf 文件中包含 pam_ldap 配置,则系统在通过 CLEANUP 文件进行升级之后将通知您。您将需要检查 pam.conf 文件并根据需要修改它。
有关更多信息,请参见 pam_passwd_auth(5)、pam_authtok_get (5)、pam_authtok_store(5) 和 pam.conf(4) 手册页。