LDAP 서비스 모듈

언어:

앞서 설명된 대로 serviceAuthenticationMethod 속성(정의된 경우)에 따라 사용자가 LDAP 서버에 바인딩되는 방식이 결정됩니다. 이 속성이 정의되지 않은 경우 authenticationMethod 속성이 사용됩니다. 사용자의 ID 및 제공된 암호를 통해 pam_ldap 모듈이 성공적으로 서버에 바인딩되면 모듈이 사용자를 인증합니다.

주 - 이전에는 pam_ldap 계정 관리를 사용할 경우 모든 사용자가 시스템에 로그인할 때마다 인증을 위해 로그인 암호를 제공해야 했습니다. 따라서 ssh 등의 도구를 사용한 비암호 기반 로그인이 실패합니다.

이제 사용자가 로그인할 때 디렉토리 서버에 대해 인증을 수행하지 않은 상태로 계정 관리를 수행하고 사용자의 계정 상태를 검색할 수 있습니다.

디렉토리 서버의 새 컨트롤은 1.3.6.1.4.1.42.2.27.9.5.8입니다. 이 컨트롤은 기본적으로 사용으로 설정됩니다. 기본 컨트롤 구성을 수정하려면 디렉토리 서버에서 ACI(액세스 제어 명령)를 추가하십시오. 예를 들어, 다음과 같습니다.

dn: oid=1.3.6.1.4.1.42.2.27.9.5.8,cn=features,cn=config
objectClass: top
objectClass: directoryServerFeature
oid:1.3.6.1.4.1.42.2.27.9.5.8
cn:Password Policy Account Usable Request Control
aci: (targetattr != "aci")(version 3.0; acl "Account Usable";
allow (read, search, compare, proxy)
(groupdn = "ldap:///cn=Administrators,cn=config");)
creatorsName: cn=server,cn=plugins,cn=config
modifiersName: cn=server,cn=plugins,cn=config

pam_ldap 모듈은 userPassword 속성을 읽지 않습니다. 클라이언트가 UNIX 인증을 사용하지 않을 경우 userPassword 속성에 대한 읽기 권한을 부여할 필요가 없습니다. 마찬가지로 모듈은 인증 방법으로 none을 지원하지 않습니다.

주의 - simple 인증 방법을 사용하면 제3자가 암호화 해제된 상태로 userPassword 속성을 읽을 수 있습니다.

다음 표에는 인증 방식 간의 주요 차이점이 요약되어 있습니다.

표 2-2 LDAP의 인증 동작

이벤트	`pam_unix_*`	`pam_ldap`	`pam_krb5`
암호 전송됨	`passwd` 서비스 인증 방법 사용	`passwd` 서비스 인증 방법 사용	암호가 아니라 Kerberos SSO(Single Sign-On) 기술 사용
새 암호 전송됨	암호화됨	TLS를 사용하지 않는 한 암호화 안함	Kerberos 사용, 암호가 전송되지 않음
새 암호 저장됨	`crypt` 형식	Oracle Directory Server Enterprise Edition에서 암호 저장 체계가 정의됨	암호가 Kerberos에 의해 관리됨
암호 읽기 필요?	예	아니오	아니오
암호 변경 후의 `sasl/digest-MD5` 호환성	아니오. 암호가 암호화 해제된 상태로 저장되지 않습니다. 사용자가 인증할 수 없습니다.	예. 기본 저장 체계가 `clear`로 설정된 경우 사용자가 인증할 수 있습니다.	아니오. `sasl/GSSAPI`가 사용됩니다. LDAP 디렉토리 서버에서 해당 암호 데이터베이스를 관리하는 Kerberos kdc를 사용하는 경우를 제외하고 디렉토리 서버에 암호가 저장되지 않으며 암호가 전송되지도 않습니다.
암호 정책 지원?	예. `enableShadowUpdate`를 `true`로 설정해야 합니다.	예(그렇게 구성된 경우).	`pam_krb5`(5) 매뉴얼 페이지 및 Kerberos V5 계정 관리 모듈을 참조하십시오.