pam_krb5가 계정 및 암호 관리를 수행할 경우 Kerberos 환경은 모든 계정, 암호, 계정 잠금 및 기타 계정 관리 세부 정보를 관리합니다.
pam_krb5를 사용하지 않을 경우 Oracle Directory Server Enterprise Edition의 암호 및 계정 잠금 정책 지원을 활용하도록 LDAP 이름 지정 서비스를 구성할 수 있습니다. 사용자 계정 관리를 지원하도록 pam_ldap을 구성할 수 있습니다. 적절한 PAM 구성을 사용할 경우 passwd 명령이 Oracle Directory Server Enterprise Edition 암호 정책에 의해 설정된 암호 구문 규칙을 적용합니다. 단, proxy 계정에 대해 계정 관리를 사용으로 설정하지 마십시오.
pam_ldap에서는 다음과 같은 계정 관리 기능이 지원됩니다. 이러한 기능은 Oracle Directory Server Enterprise Edition의 암호 및 계정 잠금 정책 구성에 따라 달라집니다. 다음 중 원하는 기능을 사용으로 설정할 수 있습니다.
암호 에이징 및 만료 알림 - 사용자는 일정에 따라 암호를 변경해야 합니다. 그렇지 않으면 암호가 만료되고 사용자 인증을 실패합니다.
사용자가 만료 경고 기간 내에 로그인하면 항상 경고 메시지가 표시됩니다. 경고 메시지에는 암호 만료까지 남은 시간이 포함됩니다.
암호 구문 검사 - 새 암호는 최소 암호 길이 요구 사항을 충족해야 합니다. 암호는 사용자 디렉토리 항목의 uid, cn, sn 또는 mail 속성의 값과 일치하지 않아야 합니다.
암호 기록 검사 - 사용자는 암호를 다시 사용할 수 없습니다. LDAP 관리자는 서버의 기록 목록에 유지되는 암호 수를 구성할 수 있습니다.
사용자 계정 잠금 - 지정된 횟수만큼 인증 시도가 반복해서 실패하면 사용자 계정이 잠길 수 있습니다. 관리자가 계정을 비활성화하는 경우에도 사용자가 잠길 수 있습니다. 계정 잠금 시간이 경과하거나 관리자가 계정을 다시 활성화할 때까지 인증이 계속해서 실패합니다.
Oracle Directory Server Enterprise Edition에서 암호 및 계정 잠금 정책을 구성하기 전에 모든 호스트가 pam_ldap 계정 관리에 최신 버전의 LDAP 클라이언트를 사용하는지 확인합니다. 또한 클라이언트에 올바르게 구성된 pam.conf 파일이 있는지 확인합니다. 그렇지 않으면 proxy 또는 사용자 암호가 만료될 경우 LDAP 이름 지정 서비스가 실패합니다.