El módulo pam_ldap es una opción del módulo PAM para LDAP para autenticar clientes y gestionar cuentas. Si ha configurado el modo de autenticación del perfil de cliente como simple y el nivel de credencial como self, deberá activar también el módulo pam_krb.
Consulte los siguientes recursos:
Página del comando man pam_ldap(5)
Página del comando man pam_krb5(5)
Gestión de Kerberos y otros servicios de autenticación en Oracle Solaris 11.2
El archivo /etc/pam.conf constituye el archivo de configuración predeterminado para que PAM utilice policy de UNIX. Normalmente, no es necesario introducir cambios en este archivo.
Sin embargo, si la caducidad de la contraseña y la política de contraseña controladas por los datos shadow son necesarias, el cliente debe estar configurado y se debe ejecutar con el conmutador enableShadowUpdate. Consulte Inicialización de un cliente LDAP para obtener un ejemplo de cómo inicializar un cliente LDAP para permitir la actualización de datos shadow.
Para obtener más información sobre el archivo de configuración, consulte la página del comando man pam.conf(4).
Para saber cómo configurar PAM para utilizar server_policy de LDAP, consulte Ejemplo de archivo pam_conf que utiliza el módulo para gestión de cuentas pam_ldap. Usando ese archivo de muestra, realice los siguientes pasos adicionales:
Agregue las líneas que contienen pam_ldap.so.1 al archivo /etc/pam.conf de cliente.
Además, si algún módulo PAM del archivo de muestra especifica el indicador binding y la opción server_policy, utilice el mismo indicador y la misma opción para el módulo correspondiente en el archivo /etc/pam.conf del cliente.
El uso del indicador de control binding permite que una contraseña local anule una contraseña remota (LDAP). Por ejemplo, si la cuenta de usuario se encuentra en los archivos locales y el espacio de nombres LDAP, la contraseña asociada con la cuenta local tiene precedencia con respecto a la contraseña remota. Por lo tanto, si la contraseña local caduca, la autenticación falla incluso si la contraseña remota LDAP aún es válida.
La opción server_policy da la instrucción a pam_unix_auth, pam_unix_account y pam_passwd_auth de ignorar a un usuario encontrado en el espacio de nombres LDAP y permitir a pam_ldap realizar la autenticación o la validación de cuenta. En el caso de pam_authtok_store, una contraseña nueva se transfiere al servidor LDAP sin cifrar. La contraseña se almacena en el directorio según el esquema de cifrado de contraseña configurado en el servidor. Para obtener más información, consulte pam.conf(4) y pam_ldap(5).
Además, agregue la opción server_policy a la línea que contiene el módulo de servicio pam_authtok_store.so.1.
Ahora puede llevar a cabo la gestión de cuentas y recuperar el estado de la cuenta de los usuarios sin autenticarse en el servidor de directorios cuando el usuario inicia sesión.
El nuevo control del servidor de directorios es 1.3.6.1.4.1.42.2.27.9.5.8. Este control se encuentra activado de manera predeterminada. Para modificar la configuración de control predeterminada, agregue las instrucciones de control de acceso (ACI) al servidor de directorios. Por ejemplo:
dn: oid=1.3.6.1.4.1.42.2.27.9.5.8,cn=features,cn=config objectClass: top objectClass: directoryServerFeature oid:1.3.6.1.4.1.42.2.27.9.5.8 cn:Password Policy Account Usable Request Control aci: (targetattr != "aci")(version 3.0; acl "Account Usable"; allow (read, search, compare, proxy) (groupdn = "ldap:///cn=Administrators,cn=config");) creatorsName: cn=server,cn=plugins,cn=config modifiersName: cn=server,cn=plugins,cn=config