pam_ldap モジュールは、クライアント認証およびアカウント管理を実行するための LDAP の PAM モジュールオプションです。クライアントプロファイルの認証モジュールを simple として、資格レベルを self として構成した場合は、pam_krb モジュールを有効にする必要もあります。
詳細については、次を参照してください。
pam_ldap(5) のマニュアルページ
pam_krb5(5) のマニュアルページ
次の例は、アカウント管理に pam_ldap モジュールを使用するサンプル pam.conf ファイルを示します。
使用例 6 アカウント管理に pam_ldap モジュールを使用するサンプル pam.conf ファイル次の例は、サンプル pam.conf ファイルを示します。
# # Authentication management # # login service (explicit because of pam_dial_auth) # login auth requisite pam_authtok_get.so.1 login auth required pam_dhkeys.so.1 login auth required pam_unix_cred.so.1 login auth required pam_dial_auth.so.1 login auth binding pam_unix_auth.so.1 server_policy login auth required pam_ldap.so.1 # # rlogin service (explicit because of pam_rhost_auth) # rlogin auth sufficient pam_rhosts_auth.so.1 rlogin auth requisite pam_authtok_get.so.1 rlogin auth required pam_dhkeys.so.1 rlogin auth required pam_unix_cred.so.1 rlogin auth binding pam_unix_auth.so.1 server_policy rlogin auth required pam_ldap.so.1 # # rsh service (explicit because of pam_rhost_auth, # and pam_unix_auth for meaningful pam_setcred) # rsh auth sufficient pam_rhosts_auth.so.1 rsh auth required pam_unix_cred.so.1 rsh auth binding pam_unix_auth.so.1 server_policy rsh auth required pam_ldap.so.1 # # PPP service (explicit because of pam_dial_auth) # ppp auth requisite pam_authtok_get.so.1 ppp auth required pam_dhkeys.so.1 ppp auth required pam_dial_auth.so.1 ppp auth binding pam_unix_auth.so.1 server_policy ppp auth required pam_ldap.so.1 # # Default definitions for Authentication management # Used when service name is not explicitly mentioned for authentication # other auth requisite pam_authtok_get.so.1 other auth required pam_dhkeys.so.1 other auth required pam_unix_cred.so.1 other auth binding pam_unix_auth.so.1 server_policy other auth required pam_ldap.so.1 # # passwd command (explicit because of a different authentication module) # passwd auth binding pam_passwd_auth.so.1 server_policy passwd auth required pam_ldap.so.1 # # cron service (explicit because of non-usage of pam_roles.so.1) # cron account required pam_unix_account.so.1 # # Default definition for Account management # Used when service name is not explicitly mentioned for account management # other account requisite pam_roles.so.1 other account binding pam_unix_account.so.1 server_policy other account required pam_ldap.so.1 # # Default definition for Session management # Used when service name is not explicitly mentioned for session management # other session required pam_unix_session.so.1 # # Default definition for Password management # Used when service name is not explicitly mentioned for password management # other password required pam_dhkeys.so.1 other password requisite pam_authtok_get.so.1 other password requisite pam_authtok_check.so.1 other password required pam_authtok_store.so.1 server_policy # # Support for Kerberos V5 authentication and example configurations can # be found in the pam_krb5(5) man page under the "EXAMPLES" section. #
/etc/pam.conf ファイルは、UNIX policy を使用するための PAM のデフォルト構成ファイルとして機能します。通常は、このファイルの変更を導入する必要はありません。ただし、シャドウデータで制御されるパスワード有効期限とパスワードポリシーを変更する場合は、enableShadowUpdate スイッチを使用するようにクライアントを構成する必要があります。シャドウデータの更新を有効にするために LDAP クライアントを初期化する例については、LDAP クライアントの初期化を参照してください。
PAM 構成ファイルの詳細は、pam.conf(4) のマニュアルページを参照してください。
LDAP server_policy を使用するように、使用例 6のサンプル pam.conf ファイルを構成するには、次の追加ステップを実行します。
pam_ldap.so.1 を含む行をクライアントの /etc/pam.conf ファイルに追加します。
サンプルファイル内のいずれかの PAM モジュールで binding フラグと server_policy オプションが指定されている場合は、クライアントの /etc/pam.conf ファイル内の対応するモジュールで同じフラグとオプションを使用します。
binding 制御フラグを使用することで、ローカルパスワードがリモート (LDAP) パスワードをオーバーライドすることが許可されます。たとえば、ローカルファイルと LDAP 名前空間の両方にユーザーアカウントが見つかった場合、リモートパスワードよりローカルアカウントのパスワードの方が優先されます。したがって、ローカルパスワードの期限が切れているときは、たとえリモート LDAP パスワードがまだ有効であっても認証に失敗します。
server_policy オプションによって、pam_unix_auth、pam_unix_account、および pam_passwd_auth は LDAP 名前空間で検出されたユーザーを無視し、pam_ldap による認証やアカウント検証が可能になります。pam_authtok_store は、新しいパスワードを暗号化せずに LDAP サーバーに渡します。その後、パスワードはサーバー上で構成されるパスワードの暗号化スキームに基づいたディレクトリに保存されます。詳細は、pam.conf(4) および pam_ldap(5) のマニュアルページを参照してください。
サービスモジュール pam_authtok_store.so.1 を含む行に、server_policy オプションを追加します。