pam_ldap 方面的更改

Solaris 10 OS 发行版中对 pam_ldap 引进了几项改动，下面的内容介绍了这些改动。有关更多信息，请参见 pam_ldap(5) 手册页。

• 从 Solaris 10 软件发行版开始，以前受支持的 use_first_pass 和 try_first_pass 选项已被废弃。将不再需要这些选项，可以从 pam.conf 中安全地删除它们，也可以将其自动忽略。以后的版本中将不再包括这些选项。

• 必须通过以下方式提供口令提示：先将 pam_authtok_get 放入验证和口令模块栈中，再将 pam_ldap 入栈，并将 pam_passwd_auth 放入 passwd 服务的 auth 栈中。

• 此发行版使用以前推荐使用的、带 server_policy 选项的 pam_authtok_store 来代替以前支持的口令更新功能。

• pam_ldap 帐户管理功能增强了 LDAP 名称服务的整体安全性。具体来说，帐户管理功能执行以下操作：

  • 允许跟踪口令更新和过期

  • 防止用户选择易破解的或以前使用过的口令

  • 如果口令即将过期，可以向用户发出警告

  • 如果多次登录失败，则禁止用户登录

  • 防止除授权的系统管理员以外的用户停用已初始化的帐户

不可能为上面列出的更改提供全新的自动更新。因此，在升级到 Solaris 10 或更高发行版时将不会自动更新现有的 pam.conf 文件以反映对 pam_ldap 进行的更改。如果现有的 pam.conf 文件中包含 pam_ldap 配置，则系统在通过 CLEANUP 文件进行升级之后将通知您。您将需要检查 pam.conf 文件并根据需要修改它。

有关更多信息，请参见 pam_passwd_auth(5)、pam_authtok_get (5)、pam_authtok_store(5) 和 pam.conf(4) 手册页。