20.8. 检查无密码访问的帐户可用性


大多数时候,目录服务器返回有关用户帐户的身份验证信息,客户端实际上会绑定(或尝试绑定)。和绑定尝试需要某种类型的用户凭证,通常是密码或证书。虽然 Directory 服务器允许未经身份验证的绑定和匿名绑定,但这些绑定都不返回任何用户帐户信息。
在某些情况下,客户端需要有关用户帐户的信息 - 特别是是否应该允许帐户进行身份验证,以便执行其他操作,但客户端没有或者对目录服务器使用任何凭证。基本上,客户端需要执行无凭证的身份验证的绑定操作,以检索用户帐户信息(包括密码过期信息(如果帐户有密码)。
这可以通过传递 帐户 Usability Extension Control 来通过 ldapsearch 完成。此控件充当为给定用户执行经过身份验证的绑定操作,并返回该用户的帐户状态 - 但不实际绑定到服务器。这允许客户端确定该帐户是否可以用于登录,然后将该帐户信息传递给另一个应用程序,如 PAM。
例如,使用帐户 Usability Extension Control 允许系统使用 Directory 服务器作为其身份后端来存储用户数据,但使用无密码验证方法,如智能卡或 SSH 密钥,在目录服务器外执行身份验证操作。

20.8.2. 更改用户可以执行帐户的搜索功能

默认情况下,只有目录管理器可以使用 Account Usability Extension Control。其他用户可以通过在支持的控制条目上设置适当的 ACI 来使用 Account Usability Extension Control。控制条目为帐户 Usability Extension Control OID, 1.3.6.1.4.1.42.2.27.9.5.8 命名。
例如,要启用 cn=Administrators,ou=groups,dc=example,dc=com 组的成员读取所有用户的帐户 Usability Extension 控制:
# ldapmodify -D "cn=Directory Manager" -W -x

dn: oid=1.3.6.1.4.1.42.2.27.9.5.8,cn=features,cn=config
changetype: modify
add: aci
aci: (targetattr = "*")(version 3.0; acl "Account Usable"; allow (read)(groupdn = "ldap:///cn=Administrators,ou=groups,dc=example,dc=com");)
Copy to Clipboard Toggle word wrap
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat