如果已启用 enableShadowUpdate 开关,帐户管理功能将可用于本地帐户和 LDAP 帐户。这些功能包括口令生命期、帐户到期和通知、锁定登录失败的帐户等等。另外,LDAP 中现在支持 passwd 命令的 –dluNfnwx 选项。因此,LDAP 命名服务中支持文件命名服务中的 passwd 命令和 pam_unix_* 模块的全部功能。enableShadowUpdate 开关可为在文件中和 LDAP 范围内定义的用户实现一致的帐户管理。
pam_ldap 和 pam_unix_* 模块不兼容。pam_ldap 模块要求口令可由用户修改。pam_unix_* 模块的要求则相反。因此,无法在同一个 LDAP 命名域中同时使用这两个模块。要么所有客户机都使用 pam_ldap 模块,要么所有客户机都使用 pam_unix_* 模块。由于这一限制,您可能需要使用专用的 LDAP 服务器,以防出现例如 Web 或电子邮件应用程序可能会要求用户在 LDAP 服务器上更改其自身口令的情况。
实施 enableShadowUpdate 还要求将管理员凭证(adminDN 和 adminPassword)存储在每台客户机本地的 svc:/network/ldap/client 服务中。
使用 pam_unix_* 模块进行帐户管理无需更改 /etc/pam.conf 文件。使用缺省的 /etc/pam.conf 文件足以满足要求。