Trabajo con servicios de nombres y de directorio en Oracle® Solaris 11.2: LDAP

Salir de la Vista de impresión

 
Actualización: Julio de 2014
 
 

Gestión de cuentas de LDAP

Si pam_krb5 realiza la gestión de cuentas y contraseñas, el entorno de Kerberos gestiona todos los detalles de cuentas, contraseñas y bloqueos de cuentas, y otros aspectos de la gestión de cuentas.

Si no utiliza pam_krb5, los servicios de nombres LDAP se pueden configurar para aprovechar la admisión de la política de bloqueo de cuentas y contraseñas en Oracle Directory Server Enterprise Edition. Puede configurar pam_ldap para que admita la gestión de cuentas de usuario. Con la configuración PAM adecuada, el comando passwd refuerza las reglas de sintaxis de contraseña definidas por la política de contraseñas de Oracle Directory Server Enterprise Edition. Sin embargo, no active la gestión de cuentas para las cuentas proxy.

Las siguientes funciones de gestión de cuentas son admitidas por pam_ldap. Estas funciones dependen de la configuración de la directiva de bloqueo de contraseña y cuenta de Oracle Directory Server Enterprise Edition. Puede activar cualquier cantidad de estas funciones.

  • Función de fecha de la contraseña y notificación de caducidad: los usuarios deben cambiar sus contraseñas de acuerdo con una programación. De lo contrario, la contraseña caduca y la autenticación del usuario falla.

    Los usuarios reciben una advertencia cuando inician sesión durante el período de advertencia de caducidad. La advertencia incluye el tiempo restante antes de la caducidad de la contraseña.

  • Comprobación de sintaxis de la contraseña: las nuevas contraseñas deben cumplir los requisitos de longitud mínima de la contraseña. Una contraseña no puede coincidir con el valor de los atributos uid, cn, sn o mail en la entrada de directorio del usuario.

  • Comprobación de contraseñas en el historial: los usuarios no pueden reutilizar las contraseñas. Los administradores de LDAP pueden configurar la cantidad de contraseñas que se mantienen en la lista de historial del servidor.

  • Bloqueo de cuenta de usuario: es posible bloquear una cuenta de usuario después de una determinada cantidad de fallas de autenticación repetidas. Un usuario también puede estar bloqueado si un administrador inactiva su cuenta. La falla de autenticación continuará hasta que pase el tiempo de bloqueo de la cuenta o que el administrador vuelva a activarla.

Notas -  Estas funciones de gestión de cuentas sólo funcionan con Oracle Directory Server Enterprise Edition. Para obtener información sobre la configuración de la contraseña y la política de bloqueo de cuenta en el servidor, consulte el capítulo "Gestión de cuentas de usuario" en la Guía de administración para la versión de Oracle Directory Server Enterprise Edition que está utilizando. Consulte también Ejemplo de archivo pam_conf que utiliza el módulo para gestión de cuentas pam_ldap.

Antes de configurar la contraseña y la política de bloqueo de cuenta en Oracle Directory Server Enterprise Edition, asegúrese de que todos los hosts utilicen la versión más reciente del cliente LDAP con la gestión de cuentas de pam_ldap. Además, asegúrese de que los clientes tengan el archivo pam.conf configurado correctamente. De lo contrario, el servicio de nombres LDAP falla cuando las contraseñas de usuario o el proxy caducan.

Copyright © 2002, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente