Use el comando passwd para cambiar una contraseña. Si el conmutador enableShadowUpdate no está activado, el atributo userPassword debe permitir la escritura al usuario y a las credenciales de administrador. Recuerde que el serviceAuthenticationMethod para passwd-cmd sustituye el authenticationMethod de esta operación. Según el método de autenticación, la contraseña actual puede ser descifrada.
En la autenticación UNIX, el nuevo atributo userPassword está cifrado con el formato crypt de UNIX. El atributo se etiqueta antes de ser escrito en LDAP. Por lo tanto, la nueva contraseña se cifra, independientemente del método de autenticación utilizado para enlazar con el servidor. Consulte la página del comando man pam_authtok_store(5) para obtener más información.
Si el conmutador enableShadowUpdate está activado, los módulos pam_unix_* también actualizan la información shadow relacionada cuando se cambia la contraseña de usuario. Los módulos pam_unix_* actualizan los mismos campos shadow en los archivos shadow locales que los módulos actualizan cuando se cambia la contraseña de usuario local.
La admisión de actualización de contraseña del módulo pam_ldap se ha sustituido por el módulo pam_authtok_store con la opción server_policy. Al utilizar pam_authtok_store, la nueva contraseña se envía al servidor LDAP sin cifrar. Para garantizar la privacidad, utilice TLS. De lo contrario, la nueva userPassword puede ser espiada.
Si ha definido una contraseña sin etiquetas con Oracle Directory Server Enterprise Edition, el software cifra la contraseña mediante el atributopasswordStorageScheme. Para obtener más información acerca de passwordStorageScheme, consulte la sección sobre la gestión de cuentas de usuario en la Guía de administración para la versión de Oracle Directory Server Enterprise Edition que está utilizando.
En el caso de que NIS, o cualquier otro cliente que use la autenticación UNIX, use LDAP como repositorio, debe configurar el atributo passwordStorageScheme con crypt. Además, si utiliza la autenticación LDAP sasl/digest-MD5 con Oracle Directory Server Enterprise Edition, debe establecer passwordStorageScheme en texto no cifrado.