pam_ldap 模块是 LDAP 用于验证客户机和执行帐户管理的 PAM 模块选项。如果已将客户机配置文件的验证模式配置为 simple,且凭证级别配置为 self,则还必须启用 pam_krb 模块。
请参阅以下资源:
pam_ldap(5) 手册页
pam_krb5(5) 手册页
/etc/pam.conf 文件可用作 PAM 使用 UNIX policy 时的缺省配置文件。通常,您不需要对此文件做出更改。
不过,如果由 shadow 数据控制的口令生命期和口令策略是必需的,则必须将客户机配置为在带有 enableShadowUpdate 开关的情况下运行。有关初始化 LDAP 客户机以启用影子数据更新的示例,请参见初始化 LDAP 客户机。
有关配置文件的详细信息,请参见 pam.conf(4) 手册页。
要配置 PAM 以使用 LDAP server_policy,请参阅使用 pam_ldap 模块进行帐户管理的示例 pam_conf 文件。要使用该示例文件,请执行以下附加步骤:
向客户机的 /etc/pam.conf 文件中添加包含 pam_ldap.so.1 的行。
如果样例文件中的任何 PAM 模块指定了 binding 标志和 server_policy 选项,请在客户机的 /etc/pam.conf 文件中为对应的模块使用相同的标志和选项。
使用 binding 控制标志允许本地口令覆盖远程 (LDAP) 口令。例如,如果在本地文件和 LDAP 名称空间中都找到了某一用户帐户,则与本地帐户关联的口令将优先于远程口令。因此,如果本地口令过期,即使远程 LDAP 口令仍然有效,验证也将失败。
server_policy 选项指示 pam_unix_auth、pam_unix_account 和 pam_passwd_auth 忽略在 LDAP 名称空间中找到的用户,并允许 pam_ldap 执行身份验证或帐户验证。对于 pam_authtok_store,会向 LDAP 服务器传递一个未经加密的新口令。然后,该口令将根据服务器中配置的口令加密方案存储在目录中。有关更多信息,请参见 pam.conf(4) 和 pam_ldap(5)。
将 server_policy 选项添加到包含服务模块 pam_authtok_store.so.1 的行中。
在用户登录时,您现在可以在不向目录服务器进行验证的情况下执行帐户管理并检索用户的帐户状态。
目录服务器上的新控制为 1.3.6.1.4.1.42.2.27.9.5.8。缺省情况下,此控制处于启用状态。要修改缺省控制配置,请在目录服务器上添加访问控制指令 (access control instruction, ACI)。例如:
dn: oid=1.3.6.1.4.1.42.2.27.9.5.8,cn=features,cn=config objectClass: top objectClass: directoryServerFeature oid:1.3.6.1.4.1.42.2.27.9.5.8 cn:Password Policy Account Usable Request Control aci: (targetattr != "aci")(version 3.0; acl "Account Usable"; allow (read, search, compare, proxy) (groupdn = "ldap:///cn=Administrators,cn=config");) creatorsName: cn=server,cn=plugins,cn=config modifiersName: cn=server,cn=plugins,cn=config