Go to main content
Oracle® Solaris 11.3 ディレクトリサービスとネームサービスでの作業: LDAP

印刷ビューの終了

更新: 2016 年 11 月
 
 

LDAP アカウント管理

pam_krb5 を使用してアカウントおよびパスワードの管理を実行すると、アカウント、パスワード、アカウントロックアウト、およびその他のアカウント管理の詳細がすべて Kerberos 環境で管理されます。

pam_krb5 を使用しない場合は、Oracle Directory Server Enterprise Edition のパスワードおよびアカウントロックアウトポリシーサポートを活用するように LDAP ネームサービスを構成してください。ユーザーアカウントの管理をサポートするように pam_ldap を構成できます。適切な PAM 構成で passwd コマンドを実行すると、Oracle Directory Server Enterprise Edition のパスワードポリシーで設定されたパスワードの構文規則が適用されます。ただし、proxy アカウントに対するアカウント管理は有効にしないでください。

pam_ldap では、次のアカウント管理機能がサポートされています。これらの機能は、Oracle Directory Server Enterprise Edition のパスワードとアカウントのロックアウトポリシー構成を利用しています。次のアカウント管理機能を有効にできます。

  • パスワード有効期限と期限切れの通知 - ユーザーはスケジュールに従って、自分のパスワードを変更する必要があります。変更しなければ、パスワードは期限切れになり、ユーザーの認証に失敗します。

    ユーザーが期限切れ警告の期間内にログインすると、常に警告が表示されます。警告には、パスワードの有効期限が切れるまでの残り時間が含まれます。

  • パスワード構文チェック - 新しいパスワードは最小パスワード長要件を満たしている必要があります。パスワードを、ユーザーのディレクトリエントリ内の uidcnsn、または mail 属性の値に一致させることはできません。

  • パスワード履歴チェック - ユーザーはパスワードを再利用できません。LDAP 管理者は、サーバーの履歴リストに保持するパスワードの数を構成することができます。

  • ユーザーアカウントのロックアウト - 認証の失敗が指定された回数に達したあとに、ユーザーアカウントをロックアウトできます。管理者によって非アクティブにされているアカウントのユーザーもロックアウトできます。アカウントのロックアウト時間が経過するか、管理者がふたたびアカウントをアクティブにするまで、認証は引き続き失敗します。

これらのアカウント管理機能は、Oracle Directory Server Enterprise Edition だけで動作します。LDAP サーバーでのパスワードおよびアカウントロックアウトポリシーの構成の詳細は、Oracle Directory Server Enterprise Edition の管理ガイド (http://docs.oracle.com/cd/E29127_01/doc.111170/e28972/ds-configuration.htm#gcsuf)の情報を参照してください。pam_ldap モジュールを使用した LDAP アカウント管理の例については、使用例 6を参照してください。

Oracle Directory Server Enterprise Edition でパスワードとアカウントのロックアウトポリシーを構成する前に、すべてのホストで pam_ldap アカウント管理による最新の LDAP クライアントが使用されていることを必ず確認してください。さらに、クライアントで pam.conf ファイルが適切に構成されていることを確認してください。これを行わない場合、proxy やユーザーパスワードの有効期限が切れたときに、LDAP ネームサービスでエラーが発生します。

pam_unix_* モジュールによる LDAP アカウント管理

LDAP ネームサービスは、ファイルネームサービスでの passwd コマンドと pam_unix_* モジュールのすべての機能をサポートします。enableShadowUpdate スイッチが有効になっている場合は、ローカルアカウントと LDAP アカウントの両方でアカウント管理機能が使用可能になります。これらの機能には、パスワードの有効期限、アカウント期限切れおよび通知、ログインに失敗したアカウントのロックが含まれます。LDAP は passwd コマンドの –dluNfnwx オプションもサポートします。enableShadowUpdate スイッチを有効にすると、ファイルと LDAP スコープの両方で定義されているユーザーに対して一貫性のあるアカウント管理を実装できます。

pam_ldap モジュールと pam_unix_* モジュールには互換性がありません。pam_ldap モジュールはユーザーがパスワードを変更することを要求しますが、pam_unix_* モジュールはユーザーがパスワードを変更することを許可しません。したがって、2 つのモジュールは同じ LDAP ネームドメインで一緒に使用できません。すべてのクライアントが pam_ldap モジュールを使用するか、またはすべてのクライアントが pam_unix_* モジュールを使用するかのどちらかです。この制限の結果として、たとえば、Web や電子メールアプリケーションでユーザーが LDAP サーバーで自分のパスワードを変更する必要がある場合に、専用の LDAP サーバーを使用しなければならないことがあります。

enableShadowUpdate を実装するにはさらに、すべてのクライアントの svc:/network/ldap/client サービスに管理者資格情報 (adminDN および adminPassword) がローカルに格納される必要があります。

アカウント管理に pam_unix_* モジュールを使用するために /etc/pam.conf ファイルを変更しないでください。デフォルトの /etc/pam.conf ファイルで十分です。

Copyright © 2002, 2016, Oracle and/or its affiliates. All rights reserved.  
前へ
次へ