enableShadowUpdate スイッチが有効になっている場合は、ローカルアカウントと LDAP アカウントの両方でアカウント管理機能が使用可能になります。この機能には、パスワードの有効期限管理、アカウントの有効期限管理および通知、ログインに失敗したアカウントのロックなどが含まれます。また、passwd コマンドの –dluNfnwx オプションが LDAP でサポートされるようになりました。これにより、ファイルネームサービスでの passwd コマンドと pam_unix_* モジュールのすべての機能が LDAP ネームサービスでサポートされます。enableShadowUpdate スイッチを有効にすると、ファイルと LDAP スコープの両方で定義されているユーザーに対して一貫性のあるアカウント管理を実装できます。
pam_ldap モジュールと pam_unix_* モジュールには互換性がありません。pam_ldap モジュールでは、ユーザーがパスワードを変更できる必要があります。pam_unix_* モジュールでは、その反対のことが必要です。つまり、同じ LDAP ネームドメインで 2 つを同時に使用することはできません。すべてのクライアントが pam_ldap モジュールを使用するか、またはすべてのクライアントが pam_unix_* モジュールを使用するかのどちらかです。この制限の結果として、たとえば、Web や電子メールアプリケーションでユーザーが LDAP サーバーで自分のパスワードを変更する必要がある場合に、専用の LDAP サーバーを使用しなければならないことがあります。
enableShadowUpdate を実装するには、すべてのクライアントの svc:/network/ldap/client サービスに管理者資格情報 (adminDN および adminPassword) をローカルに格納する必要があります。
アカウント管理に pam_unix_* モジュールを使用する場合は、/etc/pam.conf ファイルを変更する必要はありません。デフォルトの /etc/pam.conf ファイルで十分です。