pam_ldap モジュールは、クライアント認証およびアカウント管理を実行するための LDAP の PAM モジュールオプションです。クライアントプロファイルの認証モジュールを simple として、資格レベルを self として構成した場合は、pam_krb モジュールを有効にする必要もあります。
次のリソースを参照してください。
pam_ldap(5) のマニュアルページ
pam_krb5(5) のマニュアルページ
/etc/pam.conf ファイルは、UNIX policy を使用するための PAM のデフォルト構成ファイルとして機能します。通常は、このファイルの変更を導入する必要はありません。
ただし、shadow データによって制御されるパスワードの有効期限とパスワードポリシーが必要な場合は、クライアントを enableShadowUpdate スイッチを使用して構成および実行する必要があります。シャドウデータの更新を有効にするための LDAP クライアントの初期化例については、LDAP クライアントの初期化を参照してください。
構成ファイルの詳細は、pam.conf(4) のマニュアルページを参照してください。
LDAP server_policy を使用するように PAM を構成する場合は、アカウント管理に pam_ldap モジュールを使用した pam_conf ファイルの例を参照してください。このサンプルファイルを使用して、次の追加手順を実行します。
pam_ldap.so.1 を含む行をクライアントの /etc/pam.conf ファイルに追加します。
サンプルファイル内のいずれかの PAM モジュールで binding フラグと server_policy オプションが指定されている場合は、クライアントの /etc/pam.conf ファイル内の対応するモジュールで同じフラグとオプションを使用します。
binding 管理フラグを使うことにより、ローカルパスワードがリモート (LDAP) パスワードをオーバーライドします。たとえば、ローカルファイルと LDAP 名前空間の両方にユーザーアカウントが見つかった場合、リモートパスワードよりローカルアカウントのパスワードの方が優先されます。したがって、ローカルパスワードの期限が切れているときは、たとえリモート LDAP パスワードがまだ有効であっても認証に失敗します。
server_policy オプションによって、pam_unix_auth、pam_unix_account、および pam_passwd_auth は LDAP 名前空間で検出されたユーザーを無視し、pam_ldap による認証やアカウント検証が可能になります。pam_authtok_store は、新しいパスワードを暗号化せずに LDAP サーバーに渡します。その後、パスワードはサーバー上で構成されるパスワードの暗号化スキームに基づいたディレクトリに保存されます。詳細は、pam.conf(4) および pam_ldap(5) を参照してください。
サービスモジュール pam_authtok_store.so.1 を含む行に、server_policy オプションを追加します。
現在は、アカウント管理を実行し、ユーザーがログインしているときに Directory Server への認証を行わずにユーザーのアカウントステータスを取得できます。
Directory Server 上の新しい制御は 1.3.6.1.4.1.42.2.27.9.5.8 です。この制御は、デフォルトで有効になっています。デフォルトの制御構成を変更するには、ディレクトリサーバー上でアクセス制御情報 (ACI) を追加します。例:
dn: oid=1.3.6.1.4.1.42.2.27.9.5.8,cn=features,cn=config objectClass: top objectClass: directoryServerFeature oid:1.3.6.1.4.1.42.2.27.9.5.8 cn:Password Policy Account Usable Request Control aci: (targetattr != "aci")(version 3.0; acl "Account Usable"; allow (read, search, compare, proxy) (groupdn = "ldap:///cn=Administrators,cn=config");) creatorsName: cn=server,cn=plugins,cn=config modifiersName: cn=server,cn=plugins,cn=config