ディレクトリサーバーを構成してパスワード管理を有効にする

LDAP ディレクトリのパスワード管理ポリシーを構成するために、ディレクトリサーバーコンソールや ldapmodify を使う方法については、『iPlanet Directory Server 5.1 管理者ガイド』 の「ユーザーアカウントの管理」の章を参照してください。 pam_ldap が正しく動作するには、パスワードとアカウントのロックアウトポリシーがサーバー上で正しく構成されている必要があります。

proxy ユーザー用のパスワードは、期限が切れてはいけません。proxy パスワードが期限切れになった場合、 proxy 資格レベルを使用するクライアントはサーバーからネームサービス情報を取り出すことができません。proxy ユーザーのパスワードの期限が切れないことを保証するために、以下のスクリプトを記述して proxy アカウントを変更します。

# ldapmodify -h ldapserver —D administrator DN \
 -w  administrator password <<EOF 
 dn: proxy user DN
 DNchangetype: modify
 replace: passwordexpirationtime 
 passwordexpirationtime: 20380119031407Z 
 EOF

pam_ldap のパスワード管理は、 Sun ONE Directory Server 5.1 をもとに古くなったパスワードやアカウントの期限切れ情報を維持し、ユーザーに知らせます。ディレクトサーバーは、ユーザーアカウントを有効にするシャドウエントリから対応するデータを解釈しません。しかし、 pam_unix がシャドウデータを調査して、アカウントがロックされているか、パスワードが古くなっているかを判断します。LDAP ネームサービスやディレクトリサーバーはシャドウデータを維持しているわけではないので、 pam_unix はシャドウデータにもとづいたアクセスを許可するべきではありません。シャドウデータは proxy 識別情報を使って検出します。そのため、 proxy ユーザーは userPassword 属性へ読み取りアクセスすることができません。proxy ユーザーを userPassword へ読み取りアクセスさせないことにより、 pam_unix が無効なアカウントの妥当性検査を行わないようになります。