前述のとおりに、serviceAuthenticationMethod 属性を定義すると、ユーザーによる LDAP サーバーへのバインド方法が決まります。定義しない場合は、authenticationMethod 属性が使用されます。pam_ldap モジュールによって、ユーザーの識別情報および指定されたパスワードを持つサーバーへのバインドが正常に実行されると、モジュールでユーザーの認証が行われます。
現在は、アカウント管理を実行し、ユーザーがログインしているときに Directory Server への認証を行わずにユーザーのアカウントステータスを取得できます。
Directory Server 上の新しい制御は 1.3.6.1.4.1.42.2.27.9.5.8 です。この制御は、デフォルトで有効になっています。デフォルトの制御構成を変更するには、ディレクトリサーバー上でアクセス制御情報 (ACI) を追加します。例:
dn: oid=1.3.6.1.4.1.42.2.27.9.5.8,cn=features,cn=config objectClass: top objectClass: directoryServerFeature oid:1.3.6.1.4.1.42.2.27.9.5.8 cn:Password Policy Account Usable Request Control aci: (targetattr != "aci")(version 3.0; acl "Account Usable"; allow (read, search, compare, proxy) (groupdn = "ldap:///cn=Administrators,cn=config");) creatorsName: cn=server,cn=plugins,cn=config modifiersName: cn=server,cn=plugins,cn=config
pam_ldap モジュールでは、userPassword 属性が読み取られません。クライアントが UNIX 認証を使用しない場合は、userPassword 属性への読み取りアクセス権を付与する必要がありません。同様に、このモジュールでは認証方法として none がサポートされていません。
![]() | 注意 - simple 認証方法を使用する場合は、第三者が暗号化されていない userPassword 属性を読み取ることができます。 |
|