使用 passwd 命令更改口令。如果未启用 enableShadowUpdate 开关,则 userPassword 属性对于用户和管理员凭证必须是可写的。对于此操作,passwd-cmd 的 serviceAuthenticationMethod 会覆盖 authenticationMethod。根据验证方法,当前口令可能是未加密的。
在 UNIX 验证中,新的 userPassword 属性将使用 UNIX crypt 格式来加密。该属性将加上标记,然后写入 LDAP。因此,无论使用哪种验证方法绑定到服务器,都会对新口令进行加密。有关更多信息,请参见 pam_authtok_store(5) 手册页。
如果已启用 enableShadowUpdate 开关,则当用户口令更改时,pam_unix_* 模块也将更新相关的影子信息。pam_unix_* 模块更新的字段与本地用户口令被更改时该模块在本地 shadow 文件中更新的 shadow 字段相同。
pam_ldap 模块对口令更新的支持功能已由使用 server_policy 选项的 pam_authtok_store 模块所替换。使用 pam_authtok_store 时,新口令将以未加密形式发送到 LDAP 服务器。为了确保保密性,请使用 TLS。否则,新 userPassword 将很容易被窥探。
如果您为 Oracle Directory Server Enterprise Edition 设置了未标记的口令,则该软件会使用 passwordStorageScheme 属性对口令进行加密。有关 passwordStorageScheme 的更多信息,请参见所用的 Oracle Directory Server Enterprise Edition 版本的管理指南中有关用户帐户管理的章节。
如果使用 UNIX 验证的 NIS 或任何其他客户机将 LDAP 用作系统信息库,则必须使用 crypt 配置 passwordStorageScheme 属性。此外,如果对 Oracle Directory Server Enterprise Edition 使用 sasl/digest-MD5 LDAP 验证,则必须将 passwordStorageScheme 配置为明文。