Si le commutateur enableShadowUpdate est activé, la fonction de gestion des comptes est disponible pour les comptes locaux et LDAP. Cette fonction inclut la durée de vie des mots de passe, l'expiration des comptes et sa notification, le verrouillage des comptes dont la connexion a échoué, etc. En outre, les options –dluNfnwx pour la commande passwd sont maintenant prises en charge dans LDAP. Par conséquent, l'intégralité des fonctions de la commande passwd et des modules pam_unix_* dans le service de noms de fichiers est prise en charge dans le service de noms LDAP. Le commutateur enableShadowUpdate permet la mise en oeuvre d'une gestion des comptes cohérente pour les utilisateurs définis à la fois dans les fichiers et dans l'étendue LDAP.
Les modules pam_ldap et pam_unix_* ne sont pas compatibles. Le module pam_ldap nécessite que les mots de passe soient modifiables par les utilisateurs. Pour le module pam_unix_*, c'est l'inverse. Par conséquent, vous ne pouvez pas utiliser les deux modules dans le même domaine de noms LDAP. Soit tous les clients utilisent le module pam_ldap, soit ils utilisent tous les modules pam_unix_*. En conséquence, vous devrez peut être utiliser un serveur LDAP dédié dans les situations où, par exemple, une application de messagerie ou Web nécessite que les utilisateurs modifient eux-mêmes leur mot de passe sur le serveur LDAP.
L'implémentation de enableShadowUpdate nécessite également que les informations d'identification administrateur (adminDN et adminPassword) soient stockées en local sur chaque client, dans le service svc:/network/ldap/client.
L'utilisation des modules pam_unix_* pour la gestion des comptes ne nécessite pas la modification du fichier /etc/pam.conf. Le fichier /etc/pam.conf par défaut suffit.