pam_unix_* 服务模块 - 使用 Oracle® Solaris 11.2 目录和命名服务：LDAP

语言：

`pam_unix_*` 服务模块

如果未配置 /etc/pam.conf 文件，则缺省情况下会启用 UNIX 验证。

注 - pam_unix 模块已被删除，Oracle Solaris 将不再支持该模块。该模块已由一组功能相同或功能更强的其他服务模块所取代。在本指南中，pam_unix 是指提供相同功能的模块，而非 pam_unix 模块本身。

以下模块提供了与原始 pam_unix 模块相同的功能。这些模块是使用其对应的手册页列出的。

	`pam_authtok_check`(5)
	`pam_authtok_get`(5)
	`pam_authtok_store`(5)
	`pam_dhkeys`(5)
	`pam_passwd_auth`(5)
	`pam_unix_account`(5)
	`pam_unix_auth`(5)
	`pam_unix_cred`(5)
	`pam_unix_session`(5)

pam_unix_* 模块遵循传统的 UNIX 验证模式：

客户机从名称服务检索用户的加密口令。
系统提示用户输入其口令。
对用户的口令进行加密。
客户机比较这两个经过加密的口令，确定用户是否应通过验证。

pam_unix_* 模块具有以下限制：

口令必须以 UNIX crypt 格式存储。
名称服务必须能够读取 userPassword 属性。

例如，如果您将凭证级别设置为 anonymous，则任何人都必须能够读取 userPassword 属性。同样，如果您将凭证级别设置为 proxy，则代理用户必须能够读取 userPassword 属性。

注 - UNIX 验证与 sasl/digest-MD5 验证方法不兼容。在 Oracle Directory Server Enterprise Edition 中，要使用 digest-MD5，口令必须以未加密的形式存储。UNIX 验证要求口令以 crypt 格式存储。

当 enableShadowUpdate 开关设置为 true 时，pam_unix_account 模块支持帐户管理。对远程 LDAP 用户帐户实施控制的方式与对在 passwd 和 shadow 文件中定义的本地用户帐户实施控制的方式相同。对于 enableShadowUpdate 模式中的 LDAP 帐户，系统将更新并使用 LDAP 服务器上的影子数据执行口令生命期和帐户锁定功能。本地帐户的影子数据仅应用于本地客户机系统，而 LDAP 用户帐户的影子数据将应用于所有客户机系统上的用户。

只有本地客户机支持口令历史记录检查，LDAP 用户帐户不支持此功能。