LDAP ネームサービスは、Sun ONE Directory Server 5.1 でパスワードとアカウントのロックアウトポリシーをサポートする利点を有効に活用しています。pam_ldap(5) を構成して、ユーザアカウント管理をサポートすることが可能です。passwd(1) を正しい PAM 構成で使用すると、 Sun ONE Directory Server パスワードポリシーによるパスワードの構文規則を強化します。
pam_ldap(5) により、以下のパスワード管理機能がサポートされています。このパスワード管理機能は、 Sun ONE Directory Server 5.1 のパスワードとアカウントのロックアウトポリシー構成を利用しています。必要な機能を必要な数だけ利用できます。
古くなったり、有効期限の切れたパスワードを通知する
パスワードは、予定にしたがって変更する必要があります。パスワードを定められた期間内に変更しないとそのパスワードは無効になります。期限切れのパスワードでは、ユーザーが認証されません。
期限切れの警告期間内のログイン時には、常に警告メッセージを表示します。メッセージには期限切れまでの日数と時間が表示されます。
パスワードの構文チェック
新規パスワードは、最小文字数の条件を満たしている必要があります。また、ユーザーのディレクトリエントリにある uid、 cn、 sn および mail と同じ値をパスワードに設定することはできません。
パスワードの履歴チェック
パスワードの再利用はできません。以前使われていたパスワードに変更しようとすると、passwd(1) コマンドは失敗します。LDAP 管理者は、サーバーの履歴リストに保持するパスワードの数を設定することができます。
ユーザーアカウントのロックアウト
認証の失敗が設定された回数に達すると、そのユーザーアカウントはロックアウトされます。管理者がアカウントを非アクティブにした場合も、そのユーザーはロックアウトされます。アカウントのロックアウト期間が経過するか、管理者が再びアカウントをアクティブにするまで、認証は成功しません。
以上のパスワード管理機能は、 Solaris 9 にバンドルされた Sun ONE Directory Server 5.1 でのみ有効です。サーバー上のパスワードとアカウントのロックアウトポリシーについての詳細は、 『iPlanet Directory Server 5.1 管理者ガイド』の「ユーザーアカウントの管理」の章を参照してください。また、パスワード管理のために pam_ldap を構成した pam.conf ファイル例 も参照してください。
Sun ONE Directory Server 5.1 上でパスワードとアカウントのロックアウトポリシーを設定する前に、全てのホスト上で pam_ldap パスワード管理にもとづいた「最新の」 LDAP クライアントが使われていることを確認します。LDAP クライアントの「最新」バージョンは、Solaris 9 UR 2 に含まれています。
さらに、クライアントが正しい構成の pam.conf(4) ファイルを保持していることを確認します。正しい構成ファイルを保持していない場合、 LDAP ネームサービスは proxy やユーザーパスワードが期限切れの時に動作しません。