pam_krb5 を使用してアカウントおよびパスワードの管理を実行すると、アカウント、パスワード、アカウントロックアウト、およびその他のアカウント管理の詳細がすべて Kerberos 環境で管理されます。
pam_krb5 を使用しない場合は、LDAP ネームサービスを構成して、Oracle Directory Server Enterprise Edition のパスワードおよびアカウントロックアウトポリシーのサポートを活用できます。ユーザーアカウントの管理をサポートするように pam_ldap を構成できます。適切な PAM 構成で passwd コマンドを実行すると、Oracle Directory Server Enterprise Edition のパスワードポリシーで設定されたパスワードの構文規則が適用されます。ただし、proxy アカウントに対するアカウント管理は有効にしないでください。
pam_ldap では、次のアカウント管理機能がサポートされています。これらの機能は、Oracle Directory Server Enterprise Edition のパスワードとアカウントのロックアウトポリシー構成を利用しています。これらの機能は、何個でも有効にすることができます。
パスワード経過期間と有効期限の通知 - ユーザーはスケジュールに従って、自分のパスワードを変更する必要があります。変更しなければ、パスワードは期限切れになり、ユーザーの認証に失敗します。
ユーザーが期限切れ警告の期間内にログインすると、常に警告が表示されます。警告には、パスワードの有効期限が切れるまでの残り時間が含まれます。
パスワードの構文チェック - 新しいパスワードは、最小パスワード長の要件を満たしている必要があります。パスワードを、ユーザーのディレクトリエントリ内の uid、cn、sn、または mail 属性の値に一致させることはできません。
履歴内のパスワードのチェック - ユーザーはパスワードを再利用できません。LDAP 管理者は、サーバーの履歴リストに保持するパスワードの数を構成することができます。
ユーザーアカウントのロックアウト - 認証の失敗が指定された回数に達したあとに、ユーザーアカウントをロックアウトできます。管理者がアカウントを非アクティブにした場合も、そのユーザーはロックアウトされます。アカウントのロックアウト時間が経過するか、管理者がふたたびアカウントをアクティブにするまで、認証は引き続き失敗します。
Oracle Directory Server Enterprise Edition でパスワードとアカウントのロックアウトポリシーを構成する前に、すべてのホストで pam_ldap アカウント管理による最新の LDAP クライアントが使用されていることを必ず確認してください。さらに、クライアントで pam.conf ファイルが適切に構成されていることを確認してください。これを行わない場合、proxy やユーザーパスワードの有効期限が切れたときに、LDAP ネームサービスでエラーが発生します。