如前文所述,如果定义了 serviceAuthenticationMethod 属性,则该属性将确定用户绑定到 LDAP 服务器的方式。否则,将使用 authenticationMethod 属性。使用用户标识和所提供的口令将 pam_ldap 模块成功绑定到服务器之后,该模块将对用户进行验证。
在用户登录时,您现在可以在不向目录服务器进行验证的情况下执行帐户管理并检索用户的帐户状态。
目录服务器上的新控制为 1.3.6.1.4.1.42.2.27.9.5.8。缺省情况下,此控制处于启用状态。要修改缺省控制配置,请在目录服务器上添加访问控制指令 (access control instruction, ACI)。例如:
dn: oid=1.3.6.1.4.1.42.2.27.9.5.8,cn=features,cn=config objectClass: top objectClass: directoryServerFeature oid:1.3.6.1.4.1.42.2.27.9.5.8 cn:Password Policy Account Usable Request Control aci: (targetattr != "aci")(version 3.0; acl "Account Usable"; allow (read, search, compare, proxy) (groupdn = "ldap:///cn=Administrators,cn=config");) creatorsName: cn=server,cn=plugins,cn=config modifiersName: cn=server,cn=plugins,cn=config
pam_ldap 模块不读取 userPassword 属性。如果没有客户机使用 UNIX 验证,则无需授予对 userPassword 属性的读取权限。同样,该模块不支持将 none 作为验证方法。
注意 - 如果使用 simple 验证方法,userPassword 属性可能会以未加密的方式被第三方读取。 |
|