如果未配置 /etc/pam.conf 文件,则缺省情况下会启用 UNIX 验证。
以下模块提供了与原始 pam_unix 模块相同的功能。这些模块是使用其对应的手册页列出的。
pam_unix_* 模块遵循传统的 UNIX 验证模式:
客户机从名称服务检索用户的加密口令。
系统提示用户输入其口令。
对用户的口令进行加密。
客户机比较这两个经过加密的口令,确定用户是否应通过验证。
pam_unix_* 模块具有以下限制:
口令必须以 UNIX crypt 格式存储。
名称服务必须能够读取 userPassword 属性。
例如,如果您将凭证级别设置为 anonymous,则任何人都必须能够读取 userPassword 属性。同样,如果您将凭证级别设置为 proxy,则代理用户必须能够读取 userPassword 属性。
当 enableShadowUpdate 开关设置为 true 时,pam_unix_account 模块支持帐户管理。对远程 LDAP 用户帐户实施控制的方式与对在 passwd 和 shadow 文件中定义的本地用户帐户实施控制的方式相同。对于 enableShadowUpdate 模式中的 LDAP 帐户,系统将更新并使用 LDAP 服务器上的影子数据执行口令生命期和帐户锁定功能。本地帐户的影子数据仅应用于本地客户机系统,而 LDAP 用户帐户的影子数据将应用于所有客户机系统上的用户。
只有本地客户机支持口令历史记录检查,LDAP 用户帐户不支持此功能。