如何为 LDAP 域指定新的口令算法

正确配置 LDAP 客户机后，LDAP 客户机便可以使用新的口令算法。LDAP 客户机的行为与 NIS 客户机的行为相同。

1. 在 LDAP 客户机的 /etc/security/policy.conf 文件中指定口令加密算法。

2. 将修改过的 policy.conf 文件复制到 LDAP 域中的每台客户机。

3. 确保客户机的 /etc/pam.conf 文件不使用 pam_ldap 模块。

   确保注释符号 (#) 位于包含 pam_ldap.so.1 的项的前面。另外，请勿将新的 server_policy 选项与 pam_authtok_store.so.1 模块一起使用。

   客户机的 pam.conf 文件中的 PAM 项允许根据本地算法配置来加密口令。PAM 项还允许验证口令。

   当 LDAP 域中的用户更改其口令时，LDAP 客户机会查看 /etc/security/policy.conf 文件中的本地算法配置。LDAP 客户机将加密口令。然后，客户机将加密过的口令连同 {crypt} 标记一起发送到服务器。该标记告知服务器该口令已加密。该口令将按原样存储在服务器上。验证时，客户机先从服务器检索存储的口令。然后，将存储的口令与其从用户键入的口令生成的加密版本进行比较。

   ---

   注 –

   要利用 LDAP 服务器的口令策略控制，请将 server_policy 选项与 pam.conf 文件中的 pam_authtok_store 项一起使用。这样，将使用 Sun Java^TM System Directory Server 的加密机制在服务器上加密口令。有关过程，请参见《系统管理指南：名称和目录服务（DNS、NIS 和 LDAP）》中的第 11  章 “为使用 LDAP 客户机设置 Sun Java System Directory Server（任务）”。

   ---