La gestion des comptes peut être implémentée pour les clients qui utilisent pam_ldap et pour les clients qui utilisent les modules pam_unix_*.
Mise en garde - N'utilisez pas les modules pam_ldap et pam_unix_* dans le même domaine de noms LDAP. Soit les clients utilisent tous pam_ldap, soit ils utilisent tous les modules pam_unix_*. Cette limitation peut indiquer que vous avez besoin d'un serveur LDAP dédié. |
Pour que pam_ldap fonctionne correctement, la stratégie de mot de passe et de verrouillage de compte doit être correctement configurée sur le serveur. Vous pouvez utiliser la Directory Server Console ou ldapmodify pour configurer la stratégie de gestion des comptes pour l'annuaire LDAP. Pour connaître les procédures et obtenir plus d'informations, reportez-vous au chapitre relatif à la gestion des comptes utilisateur du guide d'administration de la version d'Oracle Directory Server Enterprise Edition que vous utilisez.
Vous pouvez maintenant effectuer la gestion des comptes et récupérer le statut du compte des utilisateurs sans authentification au serveur d'annuaire au moment de la connexion.
Le nouveau contrôle sur le serveur d'annuaire est 1.3.6.1.4.1.42.2.27.9.5.8 . Ce contrôle est activé par défaut. Pour modifier la configuration du contrôle par défaut, ajoutez les instructions de contrôles d'accès (ACI) sur le serveur d'annuaire. Par exemple :
dn: oid=1.3.6.1.4.1.42.2.27.9.5.8,cn=features,cn=config objectClass: top objectClass: directoryServerFeature oid:1.3.6.1.4.1.42.2.27.9.5.8 cn:Password Policy Account Usable Request Control aci: (targetattr != "aci")(version 3.0; acl "Account Usable"; allow (read, search, compare, proxy) (groupdn = "ldap:///cn=Administrators,cn=config");) creatorsName: cn=server,cn=plugins,cn=config modifiersName: cn=server,cn=plugins,cn=config
Les mots de passe pour les utilisateurs proxy ne doivent jamais expirer. Si c'est le cas, les clients utilisant le niveau d'identification proxy ne peuvent pas récupérer les informations sur le service de noms à partir du serveur. Pour vous assurer que les utilisateurs proxy ont des mots de passe qui n'expirent pas, modifiez les comptes proxy à l'aide du script suivant.
# ldapmodify -h ldapserver -D administrator_DN \ -w administrator-password <<EOF dn: proxy-user-DN DNchangetype: modify replace: passwordexpirationtime passwordexpirationtime: 20380119031407Z EOF
Pour activer les clients LDAP afin qu'ils utilisent les modules pam_unix_* pour la gestion des comptes, le serveur doit être configuré de manière à permettre la mise à jour des données shadow. Contrairement à la gestion des comptes pam_ldap, les modules pam_unix_* ne nécessitent pas d'étapes de configuration supplémentaires. Toutes les opérations de configuration peuvent être effectuées en exécutant l'utilitaire idsconfig.
L'exemple ci-dessous illustre la sortie de deux exécutions de la commande idsconfig.
La première exécution idconfig utilise un profil client.
# /usr/lib/ldap/idsconfig It is strongly recommended that you BACKUP the directory server before running idsconfig. Hit Ctrl-C at any time before the final confirmation to exit. Do you wish to continue with server setup (y/n/h)? [n] y Enter the JES Directory Server's hostname to setup: myserver Enter the port number for DSEE (h=help): [389] Enter the directory manager DN: [cn=Directory Manager] Enter passwd for cn=Directory Manager : Enter the domainname to be served (h=help): [west.example.com] Enter LDAP Base DN (h=help): [dc=west,dc=example,dc=com] Checking LDAP Base DN ... Validating LDAP Base DN and Suffix ... sasl/GSSAPI is not supported by this LDAP server Enter the profile name (h=help): [default] WestUserProfile Profile 'WestUserProfile' already exists, it is possible to enable shadow update now. idsconfig will exit after shadow update is enabled. You can also continue to overwrite the profile or create a new one and be given the chance to enable shadow update later.
Just enable shadow update (y/n/h)? [n] y Add the administrator identity (y/n/h)? [y] Enter DN for the administrator: [cn=admin,ou=profile,dc=west,dc=example,dc=com] Enter passwd for the administrator: Re-enter passwd: ADDED: Administrator identity cn=admin,ou=profile,dc=west,dc=example,dc=com. Proxy ACI LDAP_Naming_Services_proxy_password_read does not exist for dc=west,dc=example,dc=com. ACI SET: Give cn=admin,ou=profile,dc=west,dc=example,dc=com read/write access to shadow data. ACI SET: Non-Admin access to shadow data denied. Shadow update has been enabled.
La deuxième exécution idsconfig crée un nouveau profil pour une utilisation ultérieure. Seule la sortie partielle s'affiche.
# /usr/lib/ldap/idsconfig It is strongly recommended that you BACKUP the directory server before running idsconfig. Hit Ctrl-C at any time before the final confirmation to exit. Do you wish to continue with server setup (y/n/h)? [n] y Enter the JES Directory Server's hostname to setup: myserver Enter the port number for DSEE (h=help): [389] Enter the directory manager DN: [cn=Directory Manager] Enter passwd for cn=Directory Manager : Enter the domainname to be served (h=help): [west.example.com] Enter LDAP Base DN (h=help): [dc=west,dc=example,dc=com] Checking LDAP Base DN ... Validating LDAP Base DN and Suffix ... sasl/GSSAPI is not supported by this LDAP server Enter the profile name (h=help): [default] WestUserProfile-new Default server list (h=help): [192.168.0.1] . . . Do you want to enable shadow update (y/n/h)? [n] y
Summary of Configuration 1 Domain to serve : west.example.com 2 Base DN to setup : dc=west,dc=example,dc=com Suffix to create : dc=west,dc=example,dc=com 3 Profile name to create : WestUserProfile-new . . . 19 Enable shadow update : TRUE . . . Enter DN for the administrator: [cn=admin,ou=profile,dc=west,dc=example,dc=com] Enter passwd for the administrator: Re-enter passwd: WARNING: About to start committing changes. (y=continue, n=EXIT) y 1. Changed timelimit to -1 in cn=config. 2. Changed sizelimit to -1 in cn=config. . . . 11. ACI for dc=test1,dc=mpklab,dc=sfbay,dc=sun,dc=com modified to disable self modify. . . . 15. Give cn=admin,ou=profile,dc=west,dc=example,dc=com write permission for shadow. ...