LDAP ドメイン用の新しいパスワードアルゴリズムを指定する方法

言語:

適切に構成された LDAP クライアントでは、新しいパスワードアルゴリズムを使用できます。LDAP クライアントは NIS クライアントと同じように動作します。

始める前に

root 役割になる必要があります。詳細は、Securing Users and Processes in Oracle Solaris 11.4 の Using Your Assigned Administrative Rightsを参照してください。

パスワード暗号化アルゴリズムを LDAP クライアント上の /etc/security/policy.conf ファイルに指定します。
注 - account-policy SMF ステンシルを使用している場合で、config/etc_default_passwd プロパティーが有効になっているときは、この新しいアルゴリズムを使用するすべてのシステムで、対応する SMF プロパティーを変更する必要があります。例については、Securing Users and Processes in Oracle Solaris 11.4 の Modifying Rights System-Wide As SMF Propertiesの手順を参照してください。account-policy(8S) のマニュアルページも参照してください。
変更された policy.conf ファイルを LDAP ドメインのすべてのクライアントシステムにコピーします。
クライアントの /etc/pam.conf ファイルが pam_ldap モジュールを使用していないことを確認します。
pam_ldap.so.1 を含むエントリの前にコメント記号 (#) があることを確認します。また、pam_authtok_store.so.1 モジュールには server_policy オプションを使用しないでください。

ローカルアルゴリズム構成に基づくパスワードの暗号化は、クライアントの pam.conf ファイルの PAM エントリに従って行われます。パスワードの認証もこの PAM エントリによって行われます。

LDAP ドメインのユーザーがパスワードを変更すると、LDAP クライアントは、/etc/security/policy.conf ファイルにある自身のローカルアルゴリズム構成を調べ、LDAP クライアントシステムでパスワードを暗号化します。続いてクライアントは、{crypt} タグ付きの暗号化パスワードをサーバーに送信します。このタグは、パスワードが暗号化済みであることをサーバーに知らせます。パスワードはそのままの形でサーバーに格納されます。認証時に、クライアントはこのパスワードをサーバーから取り出します。クライアントは、このパスワードと、入力されたユーザーのパスワードからクライアントが暗号化したばかりのパスワードとを比較します。

注 - LDAP サーバーでパスワードポリシー制御を使用するには、pam.conf ファイルの pam_authtok_store エントリに server_policy オプションを指定します。パスワードはそのあと、LDAP サーバー上で暗号化されます。手順については、Oracle Solaris 12 ディレクトリサービスとネームサービスでの作業: LDAP の第 4 章, Setting Up an Oracle Unified Directory Server or OpenLDAP Serverを参照してください。