LDAP サービスモジュール

言語:

前述のとおりに、serviceAuthenticationMethod 属性を定義すると、ユーザーによる LDAP サーバーへのバインド方法が決まります。定義しない場合は、authenticationMethod 属性が使用されます。pam_ldap モジュールによって、ユーザーの識別情報および指定されたパスワードを持つサーバーへのバインドが正常に実行されると、モジュールでユーザーの認証が行われます。

注 - 以前は、pam_ldap アカウント管理を使用すると、すべてのユーザーがシステムにログインするたびに、認証用にログインパスワードを入力する必要がありました。そのため、ssh などのツールを使用した、パスワードに基づかないログインは失敗していました。

現在は、アカウント管理を実行し、ユーザーがログインしているときに Directory Server への認証を行わずにユーザーのアカウントステータスを取得できます。

Directory Server 上の新しい制御は 1.3.6.1.4.1.42.2.27.9.5.8 です。この制御は、デフォルトで有効になっています。デフォルトの制御構成を変更するには、ディレクトリサーバー上でアクセス制御情報 (ACI) を追加します。例:

dn: oid=1.3.6.1.4.1.42.2.27.9.5.8,cn=features,cn=config
objectClass: top
objectClass: directoryServerFeature
oid:1.3.6.1.4.1.42.2.27.9.5.8
cn:Password Policy Account Usable Request Control
aci: (targetattr != "aci")(version 3.0; acl "Account Usable";
allow (read, search, compare, proxy)
(groupdn = "ldap:///cn=Administrators,cn=config");)
creatorsName: cn=server,cn=plugins,cn=config
modifiersName: cn=server,cn=plugins,cn=config

pam_ldap モジュールでは、userPassword 属性が読み取られません。クライアントが UNIX 認証を使用しない場合は、userPassword 属性への読み取りアクセス権を付与する必要がありません。同様に、このモジュールでは認証方法として none がサポートされていません。

注意 - simple 認証方法を使用する場合は、第三者が暗号化されていない userPassword 属性を読み取ることができます。

次の表に、認証メカニズム間の主な相違点を示します。

表 2-2 LDAP での認証動作

イベント	`pam_unix_*`	`pam_ldap`	`pam_krb5`
パスワードの送信	`passwd` サービス認証方式を使用します	`passwd` サービス認証方式を使用します	パスワードではなく、Kerberos シングルサインオンテクノロジを使用します
新規パスワードの送信	暗号化される	暗号化しません (TLS を使用しない場合)	Kerberos を使用します。パスワードはネットワークに送信されません
新規パスワードの格納	`crypt` 形式	Oracle Directory Server Enterprise Edition で定義されたパスワード格納スキーム	パスワードは Kerberos を使って管理されます
パスワードの読み取りが必要か	あり	なし	なし
パスワード変更後の `sasl/digestMD5` の互換性	ありません。暗号化されていないパスワードは格納されません。ユーザーを認証できません。	あり。デフォルトのストレージスキームが平文 (`clear`) に設定されていれば、ユーザーを認証できます。	ありません。`sasl/GSSAPI` が使用されます。Kerberos kdc を使用して LDAP ディレクトリサーバー内のパスワードデータベースを管理する場合を除き、パスワードがネットワーク上に送信されることも、ディレクトリサーバーに保存されることもありません。
パスワードポリシーがサポートされるか	はい。`enableShadowUpdate` を `true` に設定する必要があります。	はい (構成されている場合)。	`pam_krb5`(5) のマニュアルページ、および Kerberos V5 アカウント管理モジュールを参照してください。