Trabajo con servicios de nombres y de directorio en Oracle® Solaris 11.2: LDAP

Salir de la Vista de impresión

 
Actualización: Julio de 2014
 
 

Módulos de servicio pam_unix_*

Si el archivo /etc/pam.conf no está configurado, la autenticación UNIX está activada de manera predeterminada.

Notas -  El módulo pam_unix se ha eliminado y ya no se admite en Oracle Solaris. El módulo ha sido reemplazado por otro conjunto diferente de módulos de servicio que proporciona una funcionalidad equivalente o superior. En esta guía, pam_unix hace referencia a los módulos que proporcionan una funcionalidad equivalente, no al módulo pam_unix en sí.

Los siguientes módulos ofrecen la funcionalidad equivalente como el módulo pam_unix original. Los módulos se muestran con sus correspondientes páginas del comando man.

pam_authtok_check(5)
pam_authtok_get(5)
pam_authtok_store(5)
pam_dhkeys(5)
pam_passwd_auth(5)
pam_unix_account(5)
pam_unix_auth(5)
pam_unix_cred(5)
pam_unix_session(5)

Los módulos pam_unix_* siguen el modelo tradicional de autenticación UNIX:

  1. El cliente recupera la contraseña cifrada del usuario del servicio de nombres.

  2. Se le pedirá al usuario la contraseña de usuario.

  3. La contraseña de usuario está cifrada.

  4. El cliente compara las dos contraseñas cifradas para determinar si el usuario debe autenticarse.

Los módulos pam_unix_* tienen las siguientes restricciones:

  • La contraseña debe almacenarse en formato crypt de UNIX.

  • El atributo userPassword debe ser legible por el servicio de nombres.

    Por ejemplo, si define el nivel de credencial en anonymous, todos los usuarios deben poder leer el atributo userPassword. De manera similar, si define el nivel de credencial en proxy, el usuario proxy debe poder leer el atributo userPassword.

Notas -  La autenticación UNIX es incompatible con el método de autenticación sasl/digest-MD5. En Oracle Directory Server Enterprise Edition, para utilizar digest-MD5, las contraseñas se deben almacenar sin cifrar. La autenticación UNIX requiere que la contraseña se almacene en formato crypt.

El módulo pam_unix_account admite la gestión de cuentas cuando el conmutador enableShadowUpdate está establecido en true. Los controles para una cuenta de usuario LDAP remota se aplican como se aplican los controles a una cuenta de usuario local que se ha definido en los archivos passwd y shadow. Para la cuenta LDAP, en el modo enableShadowUpdate, el sistema actualiza y utiliza los datos shadow del servidor LDAP para la función de fecha de la contraseña y el bloqueo de cuenta. Los datos shadow de la cuenta local sólo se aplican al sistema de cliente local, mientras que los datos shadow de una cuenta de usuario LDAP se aplican al usuario en todos los sistemas cliente.

La comprobación del historial de la contraseña sólo se admite para el cliente local, no para una cuenta de usuario LDAP.

Copyright © 2002, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente