使用 pam_krb5 执行帐户和口令管理时,Kerberos 环境将管理所有的帐户、口令、帐户锁定和其他帐户管理详细信息。
如果您不使用 pam_krb5,则可以配置 LDAP 命名服务以利用 Oracle Directory Server Enterprise Edition 中提供的口令和帐户锁定策略支持。可以将 pam_ldap 配置为支持用户帐户管理。通过正确的 PAM 配置,passwd 命令将强制执行 Oracle Directory Server Enterprise Edition 口令策略所设置的口令语法规则。但是,不要启用对 proxy 帐户的帐户管理。
以下帐户管理功能受 pam_ldap 支持。这些功能取决于 Oracle Directory Server Enterprise Edition 的口令和帐户锁定策略配置。您可以启用其中的任意多个功能。
口令生命期和失效通知-用户必须根据预定的时间更改其口令。否则,口令将失效,用户验证将失败。
在过期警告期间内登录时,用户每次都会收到警告。警告包含口令失效前的剩余时间。
口令语法检查-新口令必须符合口令的最低长度要求。口令不得与用户目录条目中的 uid、cn、sn 或 mail 属性的值相同。
历史记录检查中的口令-用户无法重用口令。LDAP 管理员可以配置保留在服务器历史记录列表中的口令数目。
用户帐户锁定-连续验证失败达到指定次数后,会锁定用户帐户。如果管理员取消激活了某个用户的帐户,该用户也会被锁定。在帐户锁定时间结束或管理员重新激活帐户之前,验证将一直失败。
在 Oracle Directory Server Enterprise Edition 上配置口令和帐户锁定策略之前,请确保所有主机将最新版本的 LDAP 客户机用于 pam_ldap 帐户管理。此外,确保客户机具有正确配置的 pam.conf 文件。否则,当 proxy 或用户口令到期后,LDAP 命名服务将失败。