Módulo de servicio LDAP

Idioma:

Como se indicó anteriormente, el atributo serviceAuthenticationMethod, si se ha definido, determina el modo en que el usuario se enlaza con el servidor LDAP. De lo contrario, se aplica el atributo authenticationMethod. Una vez que el módulo pam_ldap se enlaza correctamente al servidor con la identidad del usuario y la contraseña proporcionada, el módulo autentica al usuario.

Notas - Antes, con la gestión de cuentas de pam_ldap, todos los usuarios debían proporcionar una contraseña de inicio de sesión para la autenticación cuando iniciaban sesión en el sistema. Por lo tanto, los inicios de sesión que no se basaban en contraseñas y usaban herramientas como ssh fallaban.

Ahora puede llevar a cabo la gestión de cuentas y recuperar el estado de la cuenta de los usuarios sin autenticarse en el servidor de directorios cuando el usuario inicia sesión.

El nuevo control del servidor de directorios es 1.3.6.1.4.1.42.2.27.9.5.8. Este control se encuentra activado de manera predeterminada. Para modificar la configuración de control predeterminada, agregue las instrucciones de control de acceso (ACI) al servidor de directorios. Por ejemplo:

dn: oid=1.3.6.1.4.1.42.2.27.9.5.8,cn=features,cn=config
objectClass: top
objectClass: directoryServerFeature
oid:1.3.6.1.4.1.42.2.27.9.5.8
cn:Password Policy Account Usable Request Control
aci: (targetattr != "aci")(version 3.0; acl "Account Usable";
allow (read, search, compare, proxy)
(groupdn = "ldap:///cn=Administrators,cn=config");)
creatorsName: cn=server,cn=plugins,cn=config
modifiersName: cn=server,cn=plugins,cn=config

El módulo pam_ldap no lee el atributo userPassword. Si no hay ningún cliente que use la autenticación UNIX, el otorgamiento de acceso de lectura al atributo userPassword es innecesario. Asimismo, el módulo no admite none como método de autenticación.

Precaución - Si se utiliza el método de autenticación simple, el atributo userPassword sin cifrar puede ser leído por terceros.

En la tabla siguiente, se resumen las diferencias principales entre los mecanismos de autenticación.

Tabla 2-2 Comportamiento de autenticación en LDAP

Evento	`pam_unix_*`	`pam_ldap`	`pam_krb5`
Contraseña enviada	Utiliza el método de autenticación de servicio `passwd`	Utiliza el método de autenticación de servicio `passwd`	Utiliza el inicio de sesión único de Kerberos en tecnología, no las contraseñas
Nueva contraseña enviada	Cifrada	Sin cifrado (a menos que utilice TLS)	Utiliza Kerberos, no se transmiten contraseñas
Nueva contraseña almacenada	Formato `crypt`	Esquema de almacenamiento de contraseñas definido en Oracle Directory Server Enterprise Edition	Las contraseñas son gestionadas por Kerberos
¿Requiere lectura de contraseña?	Sí	No	No
Compatibilidad `sasl/digest-MD5` después de cambiar la contraseña	No. La contraseña no se ha guardado sin cifrar. El usuario no puede autenticarse.	Sí. Siempre que el esquema de almacenamiento predeterminado se establezca en `clear`, el usuario puede autenticarse.	No. Se utiliza `sasl/GSSAPI`. No hay transferencia de contraseña y no hay contraseñas para almacenar en el servidor de directorios, excepto cuando se utiliza un KDC de Kerberos, que gestiona su base de datos de contraseñas en el servidor de directorios LDAP.
¿Política de contraseñas admitida?	Sí. `enableShadowUpdate` se debe establecer en `true`.	Sí, si se ha configurado esta opción.	Consulte la página del comando man `pam_krb5`(5) y el módulo de gestión de cuentas de Kerberos V5.