LDAP 服务模块

语言：

如前文所述，如果定义了 serviceAuthenticationMethod 属性，则该属性将确定用户绑定到 LDAP 服务器的方式。否则，将使用 authenticationMethod 属性。使用用户标识和所提供的口令将 pam_ldap 模块成功绑定到服务器之后，该模块将对用户进行验证。

注 - 以前在使用 pam_ldap 帐户管理时，所有用户在每次登录系统时都必须提供登录口令以进行验证。因此，使用 ssh 等工具进行非基于口令的登录将失败。

在用户登录时，您现在可以在不向目录服务器进行验证的情况下执行帐户管理并检索用户的帐户状态。

目录服务器上的新控制为 1.3.6.1.4.1.42.2.27.9.5.8。缺省情况下，此控制处于启用状态。要修改缺省控制配置，请在目录服务器上添加访问控制指令 (access control instruction, ACI)。例如：

dn: oid=1.3.6.1.4.1.42.2.27.9.5.8,cn=features,cn=config
objectClass: top
objectClass: directoryServerFeature
oid:1.3.6.1.4.1.42.2.27.9.5.8
cn:Password Policy Account Usable Request Control
aci: (targetattr != "aci")(version 3.0; acl "Account Usable";
allow (read, search, compare, proxy)
(groupdn = "ldap:///cn=Administrators,cn=config");)
creatorsName: cn=server,cn=plugins,cn=config
modifiersName: cn=server,cn=plugins,cn=config

pam_ldap 模块不读取 userPassword 属性。如果没有客户机使用 UNIX 验证，则无需授予对 userPassword 属性的读取权限。同样，该模块不支持将 none 作为验证方法。

注意 - 如果使用 simple 验证方法，userPassword 属性可能会以未加密的方式被第三方读取。

下表汇总了各种验证机制之间的主要区别。

表 2-2 LDAP 中的验证行为

事件	`pam_unix_*`	`pam_ldap`	`pam_krb5`
发送口令	使用 `passwd` 服务验证方法	使用 `passwd` 服务验证方法	使用 Kerberos 单点登录技术，不需要口令
发送新口令	加密	不加密（除非使用了 TLS）	使用 Kerberos，不通过线路发送口令
存储新口令	`crypt` 格式	Oracle Directory Server Enterprise Edition 中定义的口令存储方案	口令由 Kerberos 管理
是否需要读取口令？	是	否	否
更改口令之后，是否与 `sasl/digest-MD5` 兼容	否。口令不以未加密形式存储。用户无法进行验证。	是。只要将缺省的存储方案设置为 `clear`，用户即可验证身份。	否。使用了 `sasl/GSSAPI`。线路上没有口令，目录服务器中也不存储口令，除非所使用的 Kerberos kdc 在 LDAP 目录服务器中管理其口令数据库。
是否支持口令策略？	是。`enableShadowUpdate` 必须设置为 `true`。	是（如果进行了这样的配置）。	请参见 `pam_krb5`(5) 手册页和 Kerberos V5 帐户管理模块。