Como se indicó anteriormente, el atributo serviceAuthenticationMethod, si se ha definido, determina el modo en que el usuario se enlaza con el servidor LDAP. De lo contrario, se aplica el atributo authenticationMethod. Una vez que el módulo pam_ldap se enlaza correctamente al servidor con la identidad del usuario y la contraseña proporcionada, el módulo autentica al usuario.
Ahora puede llevar a cabo la gestión de cuentas y recuperar el estado de la cuenta de los usuarios sin autenticarse en el servidor de directorios cuando el usuario inicia sesión.
El nuevo control del servidor de directorios es 1.3.6.1.4.1.42.2.27.9.5.8. Este control se encuentra activado de manera predeterminada. Para modificar la configuración de control predeterminada, agregue las instrucciones de control de acceso (ACI) al servidor de directorios. Por ejemplo:
dn: oid=1.3.6.1.4.1.42.2.27.9.5.8,cn=features,cn=config objectClass: top objectClass: directoryServerFeature oid:1.3.6.1.4.1.42.2.27.9.5.8 cn:Password Policy Account Usable Request Control aci: (targetattr != "aci")(version 3.0; acl "Account Usable"; allow (read, search, compare, proxy) (groupdn = "ldap:///cn=Administrators,cn=config");) creatorsName: cn=server,cn=plugins,cn=config modifiersName: cn=server,cn=plugins,cn=config
El módulo pam_ldap no lee el atributo userPassword. Si no hay ningún cliente que use la autenticación UNIX, el otorgamiento de acceso de lectura al atributo userPassword es innecesario. Asimismo, el módulo no admite none como método de autenticación.
Precaución - Si se utiliza el método de autenticación simple, el atributo userPassword sin cifrar puede ser leído por terceros. |
En la tabla siguiente, se resumen las diferencias principales entre los mecanismos de autenticación.
|