パスワードを変更するには、passwd コマンドを使用します。enableShadowUpdate スイッチが有効になっていない場合は、管理者資格情報に加えて、ユーザー資格情報でも userPassword 属性が書き込み可能である必要があります。passwd-cmd の serviceAuthenticationMethod によって、この操作のための authenticationMethod がオーバーライドされます。認証方法によっては、現在のパスワードが暗号化されていない場合があります。
UNIX 認証では、新しい userPassword 属性が UNIX crypt 形式で暗号化されます。この属性は、LDAP に書き込まれる前にタグ付けされます。このため、サーバーへのバインドに使用される認証方法に関係なく、新しいパスワードは暗号化されます。詳細は、pam_authtok_store(5) のマニュアルページを参照してください。
enableShadowUpdate スイッチが有効になっている場合は、ユーザーパスワードが変更されると、pam_unix_* モジュールでも関連するシャドウ情報が更新されます。pam_unix_* モジュールは、ローカルのユーザーパスワードが変更されたときにこれらのモジュールが更新するローカルの shadow ファイル内の同じ shadow フィールドを更新します。
pam_ldap モジュールのパスワード更新のサポートは、server_policy オプションを使用した pam_authtok_store モジュールに置き換えられました。pam_authtok_store を使用すると、新しいパスワードは暗号化されずに LDAP サーバーに送信されます。機密性を保証するには、TLS を使用してください。そうしないと、新しい userPassword が詮索されやすくなります。
Oracle Directory Server Enterprise Edition でタグ付けされていないパスワードを設定すると、passwordStorageScheme 属性を使用してパスワードが暗号化されます。passwordStorageScheme の詳細については、使用しているバージョンの Oracle Directory Server Enterprise Edition の管理者ガイドでユーザーアカウントの管理に関するセクションを参照してください。
NIS、または UNIX 認証を使用するその他のクライアントがリポジトリとして LDAP を使用する場合は、passwordStorageScheme 属性に crypt を構成する必要があります。また、Oracle Directory Server Enterprise Edition で sasl/digest-MD5 の LDAP 認証を使用している場合は、passwordStorageScheme を平文に設定する必要があります。