pam_ldap は、パスワード管理機能あり、またはなしで構成できます。 以下の 2 つのオプションから構成に適した手順を選択してください。
パスワード管理機能なしで pam_ldap を使うときは、pam_ldap に対応した pam.conf ファイルの例 のサンプルの pam.conf ファイルにしたがってください。 pam_ldap.so.1 を含む行をクライアントの /etc/pam.conf ファイルに追加します。 詳細については、pam.conf(4)のマニュアルページを参照してください。
パスワード管理機能のために pam_ldap を構成する場合は、パスワード管理のために pam_ldap を構成した pam.conf ファイル例 のサンプルの pam.conf ファイルをコピーします。 次に、 pam_ldap.so.1 を含む行をクライアントの /etc/pam.conf ファイルに追加します。 さらに、サンプルの pam.conf ファイルの中でいずれかの PAM が binding 管理フラグと server_policy オプションを定義している場合は、クライアントの /etc/pam.conf ファイルの対応するモジュールに、同じフラグとオプションを記述します。 また、サービスモジュール pam_authtok_store.so.1 を含む行に、server_policy オプションを追加します。
binding 管理フラグ
binding 管理フラグを使うことにより、遠隔 (LDAP) パスワードよりローカルパスワードが優先されます。 たとえば、ローカルファイルと LDAP 名前空間の両方にユーザーアカウントが見つかった場合、遠隔パスワードよりローカルアカウントのパスワードの方が優先されます。 したがって、ローカルパスワードの期限が切れているときは、たとえ LDAP パスワードがまだ有効であっても認証に失敗します。
server_policy オプション
server_policy オプションを使うことにより、pam_unix は LDAP 名前空間で見つかったユーザーを使わず、pam_ldap は認証やアカウントの検証を行います。 pam_authtok_store.so.1 は、新しいパスワードを暗号化せずに LDAP サーバーに渡します。 そのため、パスワードはサーバー上で構成されるパスワードの暗号化方式にもとづいたディレクトリに保存されます。 詳細は、 pam.conf(4) と pam_ldap(5) のマニュアルページを参照してください。