管理口令信息

用户登录系统时，必须提供用户名和口令。尽管登录名是公开的，但是口令必须保密。口令应该只有每个用户才知道。应该要求用户谨慎选择其口令。用户应该经常更改其口令。

口令最初是在设置用户帐户时创建的。要维护用户帐户的安全性，可以设置口令生命期，以便强制用户定期更改其口令。还可以通过锁定口令来禁用用户帐户。有关管理口令的详细信息，请参见《系统管理指南：基本管理》中的第 4  章 “管理用户帐户和组（概述）”以及 passwd(1) 手册页。

本地口令

如果网络使用本地文件来验证用户，则口令信息保存在系统的 /etc/passwd 和 /etc/shadow 文件中。用户名和其他信息保存在口令文件 /etc/passwd 中。加密的口令本身保存在单独的阴影文件 /etc/shadow 中。这种安全措施可防止用户获取访问加密口令的权限。尽管任何可以登录到系统的用户都能使用 /etc/passwd 文件，但是仅有超级用户或等效角色才能读取 /etc/shadow 文件。可以使用 passwd 命令来更改本地系统上的用户口令。

NIS 和 NIS+ 口令

如果网络使用 NIS 来验证用户，则口令信息保存在 NIS 口令列表中。NIS 不支持口令生命期。可以使用命令 passwd -r nis 来更改存储在 NIS 口令列表中的用户口令。

如果网络使用 NIS+ 来验证用户，则口令信息保存在 NIS+ 数据库中。可以通过仅允许授权用户进行访问来保护 NIS+ 数据库中的信息。可以使用 passwd -r nisplus 命令来更改存储在 NIS+ 数据库中的用户口令。

LDAP 口令

Solaris LDAP 名称服务将口令信息和阴影信息存储在 LDAP 目录树的 ou=people 容器中。在 Solaris LDAP 名称服务客户机上，可以使用 passwd -r ldap 命令来更改用户口令。LDAP 名称服务将口令存储在 LDAP 系统信息库中。

在 Solaris 10 发行版中，口令策略是在 Sun Java^TM System Directory Server 上强制执行的。具体而言，客户机的 pam_ldap 模块遵循在 Sun Java System Directory Server 上强制执行的口令策略控制。有关更多信息，请参见《系统管理指南：名称和目录服务（DNS、NIS 和 LDAP）》中的“LDAP 名称服务安全模型”。