Module de service LDAP

Langue :

Comme indiqué précédemment, l'attribut serviceAuthenticationMethod, s'il est défini, détermine la façon dont l'utilisateur établit la liaison au serveur LDAP. Dans le cas contraire, l'attribut authenticationMethod est utilisé. Une fois que le module pam_ldap a établi correctement la liaison avec le serveur à l'aide de l'identité de l'utilisateur et du mot de passe fourni, le module authentifie l'utilisateur.

Remarque - Auparavant, avec la gestion des comptes pam_ldap, tous les utilisateurs devaient fournir un mot de passe de connexion pour l'authentification à chaque fois qu'ils se connectaient au système. Par conséquent, les types de connexion ne nécessitant pas la saisie du mot de passe, tels que ssh, échouent.

Vous pouvez maintenant effectuer la gestion des comptes et récupérer le statut du compte des utilisateurs sans authentification au serveur d'annuaire au moment de la connexion.

Le nouveau contrôle sur le serveur d'annuaire est 1.3.6.1.4.1.42.2.27.9.5.8 . Ce contrôle est activé par défaut. Pour modifier la configuration du contrôle par défaut, ajoutez les instructions de contrôles d'accès (ACI) sur le serveur d'annuaire. Par exemple :

dn: oid=1.3.6.1.4.1.42.2.27.9.5.8,cn=features,cn=config
objectClass: top
objectClass: directoryServerFeature
oid:1.3.6.1.4.1.42.2.27.9.5.8
cn:Password Policy Account Usable Request Control
aci: (targetattr != "aci")(version 3.0; acl "Account Usable";
allow (read, search, compare, proxy)
(groupdn = "ldap:///cn=Administrators,cn=config");)
creatorsName: cn=server,cn=plugins,cn=config
modifiersName: cn=server,cn=plugins,cn=config

pam_ldap ne lit pas l'attribut userPassword. Si aucun client n'utilise l'authentification UNIX, l'octroi de l'accès en lecture à l'attribut userPassword n'est pas nécessaire. De même, le module ne prend pas en charge la méthode d'authentification none.

Mise en garde - Si la méthode d'authentification simple est utilisée, l'attribut userPassword peut être lu sur le réseau par des tiers.

Le tableau suivant récapitule les principales différences entre les mécanismes d'authentification.

Table 2-2 Comportement d'authentification dans LDAP

Evénement	`pam_unix_*`	`pam_ldap`	`pam_krb5`
Mot de passe envoyé	Utilise la méthode d'authentification de service `passwd`	Utilise la méthode d'authentification de service `passwd`	Utilise la technologie à connexion unique de Kerberos, pas les mots de passe
Nouveau mot de passe envoyé	Chiffré	Sans chiffrement (sauf si TLS est utilisé)	Utilise Kerberos, aucun mot de passe n'est envoyé sur le réseau
Nouveau mot de passe stocké	Format `crypt`	Schéma de stockage de mot de passe défini sur Oracle Directory Server Enterprise Edition	Mots de passe gérés par Kerberos
Nécessite une lecture du mot de passe ?	Oui	Non	Non
Compatibilité `sasl/digest-MD5` après modification du mot de passe	Non. Le mot de passe n'est pas stocké en clair. L'utilisateur ne peut pas s'authentifier.	Oui. Tant que le schéma de stockage par défaut est défini sur `clear`, l'utilisateur peut s'authentifier.	Non. `sasl/GSSAPI` est utilisé. Il n'y a aucun mot de passe sur le réseau et aucun mot de passe à stocker dans le serveur d'annuaire, sauf lors de l'utilisation d'un KDC Kerberos qui gère sa base de données de mots de passe dans le serveur d'annuaire LDAP.
Stratégie de mot de passe prise en charge ?	Oui. `enableShadowUpdate` doit être défini sur `true`.	Oui, si configuré.	Reportez-vous à la page de manuel `pam_krb5`(5) et au module de gestion des comptes Kerberos V5.