Utilisation des services de noms et d'annuaire Oracle® Solaris 11.2 : LDAP

Quitter la vue de l'impression

 
Mis à jour : Juillet 2014
 
 

Modules de service pam_unix_*

Si le fichier /etc/pam.conf n'est pas configuré, l'authentification UNIX est activée par défaut.

Remarque -  Le module pam_unix a été supprimé et n'est plus pris en charge dans Oracle Solaris. Le module a été remplacé par un autre ensemble de modules de service qui fournit des fonctionnalités équivalentes ou supérieures. Dans ce guide, pam_unix fait référence aux modules qui fournissent des fonctionnalités équivalentes, et non au module pam_unix proprement dit.

Les modules suivants offrent des fonctions équivalentes à celles disponibles dans le module pam_unix d'origine. Les modules sont répertoriés en fonction des pages de manuel correspondantes.

pam_authtok_check(5)
pam_authtok_get(5)
pam_authtok_store(5)
pam_dhkeys(5)
pam_passwd_auth(5)
pam_unix_account(5)
pam_unix_auth(5)
pam_unix_cred(5)
pam_unix_session(5)

Les modules pam_unix_* suivent le modèle traditionnel d'authentification UNIX :

  1. Le client récupère le mot de passe chiffré de l'utilisateur auprès du service de noms.

  2. L'utilisateur est invité à saisir le mot de passe utilisateur.

  3. Le mot de passe utilisateur est chiffré.

  4. Le client compare les deux mots de passe chiffrés afin de déterminer si l'utilisateur doit s'authentifier.

Les modules pam_unix_* sont soumis aux restrictions suivantes :

  • Le mot de passe doit être stocké au format crypt UNIX.

  • L'attribut userPassword doit être lisible par le service de noms.

    Par exemple, si vous définissez le niveau d'identification anonymous, toute personne doit être capable de lire l'attribut userPassword. De même, si vous définissez le niveau d'identification proxy, l'utilisateur proxy doit être capable de lire l'attribut userPassword.

Remarque -  L'authentification UNIX est incompatible avec la méthode d'authentification sasl/digest-MD5. Dans Oracle Directory Server Enterprise Edition, pour utiliser digest-MD5, les mots de passe doivent être stockés en clair. L'authentification UNIX requiert le stockage du mot de passe au format crypt.

Le module pam_unix_account prend en charge la gestion des comptes lorsque le commutateur enableShadowUpdate est défini sur true. Les contrôles d'un compte utilisateur LDAP distant sont appliqués comme ceux d'un compte utilisateur local défini dans les fichiers passwd et shadow. Pour le compte LDAP en mode enableShadowUpdate, le système met à jour et utilise les données shadow sur le serveur LDAP pour la durée de vie des mots de passe et le verrouillage de comptes. Les données en double sur le compte local s'appliquent uniquement au système client local, tandis que les données shadow d'un compte utilisateur LDAP s'appliquent à l'utilisateur sur tous les systèmes client.

La vérification de l'historique du mot de passe n'est prise en charge que pour le client local et non pour un compte utilisateur LDAP.

Copyright © 2002, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant