Si el conmutador enableShadowUpdate está activado, la función de gestión de cuentas se hace disponible en las cuentas locales y en las cuentas LDAP. La funcionalidad incluye la función de fecha de la contraseña, la caducidad de la cuenta y la notificación, el bloqueo de cuenta a causa de fallo en inicio de sesión, etcétera. Además, las opciones –dluNfnwx del comando passwd ahora se admiten en LDAP. Por lo tanto, todas las funciones del comando passwd y los módulos pam_unix_* en el servicio de nombres de los archivos se pueden usar en el servicio de nombres LDAP. El conmutadorenableShadowUpdate permite implementar la gestión de cuentas de manera coherente para usuarios que están definidos en los archivos y en el ámbito LDAP.
Los módulos pam_ldap y pam_unix_* son incompatibles. El módulo pam_ldap requiere que las contraseñas se puedan modificar mediante usuarios. Los módulos pam_unix_* requieren exactamente lo opuesto. Por lo tanto, no podrá utilizar los dos juntos en el mismo dominio de nombres de LDAP. Todos los clientes utilizan el módulo pam_ldap o todos los clientes utilizan los módulos pam_unix_*. A consecuencia de esta limitación, puede que necesite utilizar un servidor LDAP dedicado en los casos en que una aplicación web o de correo electrónico, por ejemplo, requiera que los usuarios cambien sus propias contraseñas en el servidor LDAP.
La implementación de enableShadowUpdate también requiere que la credencial del administrador (adminDN más adminPassword) se almacene localmente en cada cliente, en el servicio svc:/network/ldap/client.
El uso de los módulos pam_unix_* para la gestión de cuentas no requiere el cambio del archivo /etc/pam.conf. El archivo /etc/pam.conf predeterminado es suficiente.