앞서 설명된 대로 serviceAuthenticationMethod 속성(정의된 경우)에 따라 사용자가 LDAP 서버에 바인딩되는 방식이 결정됩니다. 이 속성이 정의되지 않은 경우 authenticationMethod 속성이 사용됩니다. 사용자의 ID 및 제공된 암호를 통해 pam_ldap 모듈이 성공적으로 서버에 바인딩되면 모듈이 사용자를 인증합니다.
이제 사용자가 로그인할 때 디렉토리 서버에 대해 인증을 수행하지 않은 상태로 계정 관리를 수행하고 사용자의 계정 상태를 검색할 수 있습니다.
디렉토리 서버의 새 컨트롤은 1.3.6.1.4.1.42.2.27.9.5.8입니다. 이 컨트롤은 기본적으로 사용으로 설정됩니다. 기본 컨트롤 구성을 수정하려면 디렉토리 서버에서 ACI(액세스 제어 명령)를 추가하십시오. 예를 들어, 다음과 같습니다.
dn: oid=1.3.6.1.4.1.42.2.27.9.5.8,cn=features,cn=config objectClass: top objectClass: directoryServerFeature oid:1.3.6.1.4.1.42.2.27.9.5.8 cn:Password Policy Account Usable Request Control aci: (targetattr != "aci")(version 3.0; acl "Account Usable"; allow (read, search, compare, proxy) (groupdn = "ldap:///cn=Administrators,cn=config");) creatorsName: cn=server,cn=plugins,cn=config modifiersName: cn=server,cn=plugins,cn=config
pam_ldap 모듈은 userPassword 속성을 읽지 않습니다. 클라이언트가 UNIX 인증을 사용하지 않을 경우 userPassword 속성에 대한 읽기 권한을 부여할 필요가 없습니다. 마찬가지로 모듈은 인증 방법으로 none을 지원하지 않습니다.
![]() | 주의 - simple 인증 방법을 사용하면 제3자가 암호화 해제된 상태로 userPassword 속성을 읽을 수 있습니다. |
다음 표에는 인증 방식 간의 주요 차이점이 요약되어 있습니다.
|