ディレクトリサーバーを構成してパスワード管理を有効にする

pam_ldap が正しく動作するには、パスワードとアカウントのロックアウトポリシーがサーバー上で正しく構成されている必要があります。 ディレクトリサーバーコンソール または ldapmodify を使用して、LDAP ディレクトリのパスワード管理ポリシーを構成できます。 手順と詳細については、ご使用のバージョンの Sun ONE Directory Server の『管理者ガイド』の「ユーザーアカウントの管理」の章を参照してください。

proxy ユーザー用のパスワードは、期限が切れてはいけません。 proxy パスワードが期限切れになった場合、 proxy 資格レベルを使用するクライアントはサーバーからネームサービス情報を取り出すことができません。 proxy ユーザーのパスワードの期限が切れないことを保証するために、以下のスクリプトを記述して proxy アカウントを変更します。

# ldapmodify -h ldapserver —D administrator DN \
-w  administrator password <<EOF 
dn: proxy user DN
DNchangetype: modify
replace: passwordexpirationtime
passwordexpirationtime: 20380119031407Z
EOF

pam_ldap のパスワード管理は、Sun ONE Directory Server をもとに古くなったパスワードやアカウントの期限切れ情報を維持し、ユーザーに知らせます。 ディレクトサーバーは、ユーザーアカウントを有効にするシャドウエントリから対応するデータを解釈しません。 しかし、pam_unix がシャドウデータを調査して、アカウントがロックされているか、パスワードが古くなっているかを判断します。 LDAP ネームサービスやディレクトリサーバーはシャドウデータを最新の状態に維持しているわけではないので、pam_unix はシャドウデータにもとづいたアクセスを許可するべきではありません。 シャドウデータは proxy 識別情報を使って検出します。 そのため、proxy ユーザーに userPassword 属性へ読み取りアクセスを許可しないでください。 proxy ユーザーを userPassword へ読み取りアクセスさせないことにより、 pam_unix が無効なアカウントの検証を行わないようになります。