Usar sso.conf para configurar la sincronización de contraseña en equipos basados en UNIX

Para cambiar la configuración y personalizar el funcionamiento de la sincronización de contraseña en un equipo basado en UNIX, es necesario cambiar la configuración en el archivo sso.conf. Para obtener información acerca de la instalación del archivo sso.conf, consulte Instalar el demonio de sincronización de contraseña en equipos basados en UNIX.

En la tabla siguiente se describen los valores que puede especificar en el archivo sso.conf.

Valor Descripción

CASE_IGNORE_NAME

Especifica si la sincronización de contraseña omitirá las diferencias entre mayúsculas y minúsculas al comparar nombres de usuario de Windows y UNIX. Para permitir comparaciones que no distingan entre mayúsculas y minúsculas, establezca esta entrada en 1 (valor predeterminado). Para forzar el uso de comparaciones que distingan entre mayúsculas y minúsculas por parte de la sincronización de contraseña, establezca esta entrada en 0.

ENCRYPT_KEY

Especifica la clave predeterminada usada para cifrar contraseñas intercambiadas con servidores de Windows. Puede usar la configuración del valor SYNC_HOSTS para especificar una clave de cifrado diferente para un servidor de Windows determinado.

FILE_PATH

Especifica la ruta completa y nombre del archivo passwd o shadow (como /etc/passwd). Este archivo debe incluir las contraseñas cifradas para usuarios. El tipo de archivo (passwd o shadow) debe ser el mismo que el especificado por USE_SHADOW. En sistemas AIX, la ruta y nombre del archivo shadow es /etc/security/passwd.

IGNORE_PROPAGATION_ERRORS

Si se establece en 1, especifica que el módulo PAM de sincronización de contraseña omita cualquier error que se produzca al cambiar una contraseña de Windows y continúe la sincronización con otros hosts especificados en SYNC_HOSTS.

NIS_UPDATE_PATH

Especifica la ruta completa al archivo Make de NIS. Este valor se omitirá a menos que USE_NIS se haya establecido en 1.

PORT_NUMBER

Especifica el número predeterminado del puerto desde donde el demonio de sincronización de contraseña escuchará los cambios de los servidores de Windows. Puede usar la configuración del valor SYNC_HOSTS para especificar un número de puerto diferente para un servidor de Windows determinado.

SYNC_DELAY

Especifica el número de segundos que el módulo PAM de sincronización de contraseña esperará entre un intento de sincronización y otro.

SYNC_HOSTS

Especifica los servidores de Windows o controladores de dominio con los que se sincronizarán las contraseñas. Asimismo, puede especificar un número de puerto o clave de cifrado, o bien ambos, para un servidor determinado. Escriba cada entrada entre paréntesis y separe los elementos mediante un espacio en blanco. Puede usar varias entradas en líneas separadas que no superen cada una los 269 caracteres de longitud. La lista total de servidores o controladores de dominio se genera concatenando todas las entradas. Por ejemplo:

SYNC_HOSTS=(Marketing) 
SYNC_HOSTS=(Sales,ASDFhjkl4321ZyXw) (Accounting,6678) 
SYNC_HOSTS=(Shipping,6678,ASDFhjkl4321ZyXw)

sincroniza las contraseñas con el servidor de marketing mediante el puerto predeterminado y la clave de cifrado; con el servidor de ventas usando ASDFhjkl4321ZyXw como clave de cifrado; con el servidor de contabilidad usando 6678 como el número de puerto y con el servidor de envíos usando 6678 como el número de puerto y ASDFhjkl4321ZyXw como la clave de cifrado.

Si usa un número de puerto específico del servidor o la configuración de clave de cifrado, debe usar los mismos valores para configurar la sincronización de contraseña en el servidor de Windows. De lo contrario, las contraseñas no se sincronizarán.

SYNC_RETRIES

Especifica el número de veces que el módulo PAM de sincronización de contraseña intentará sincronizar un cambio de contraseña con un servidor de Windows o controlador de dominio.

SYNC_USERS

Especifica los usuarios de UNIX cuyas contraseñas van a sincronizarse. Puede especificar ALL para sincronizar contraseñas para todos los usuarios o NONE para deshabilitar la sincronización de contraseña para los usuarios. También puede especificar usuarios determinados. Si especifica uno o varios usuarios precedidos del signo más (+), únicamente se sincronizarán las contraseñas de esos usuarios. Si especifica uno o varios usuarios precedidos del signo menos (+), se sincronizarán las contraseñas de todos los usuarios salvo los que se hayan especificado. Por ejemplo, para permitir que solo los usuarios bobg y kimr sincronicen sus contraseñas, especifique lo siguiente:

SYNC_USERS=+bobg +kimr

Para evitar que únicamente root y bobg sincronicen sus contraseñas, especifique lo siguiente:

SYNC_USERS=–root –bobg

El signo menos siempre tiene precedencia, con independencia de las entradas donde figure. Por ejemplo, a continuación se especifica que la contraseña para el usuario chrisa no se va a sincronizar:

SYNC_USERS=+chrisa –chrisa +chrisa

TEMP_FILE_PATH

Especifica la ruta completa del directorio que se usará para hospedar un archivo temporal mientras se actualiza el archivo passwd o shadow. Debe ser el mismo directorio en el que se encuentra el archivo passwd o shadow. Por motivos de seguridad, solo el administrador debe tener acceso a este directorio.

USE_NIS

Establézcalo en 0 si la sincronización de contraseña no se va a sincronizar con un dominio NIS; establézcalo en 1 si la sincronización de contraseña se va a sincronizar con un dominio NIS. Si USE_NIS se establece en 1, especifique una ruta válida para NIS_UPDATE_PATH.

USE_SHADOW

Establézcalo en 0 si el archivo passwd se va a usar para la sincronización; establézcalo en 1 si se va a usar el archivo shadow.