Tato část obsahuje pokyny k instalaci modulu PAM (pluggable authentication module) v počítačích založených na kterékoli z následujících čtyř řad platforem pro operační systém UNIX:

Instalace modulu PAM na platformě AIX

Chcete-li nainstalovat modul PAM v počítačích s platformou IBM AIX, postupujte podle následujících pokynů:

Instalace modulu PAM na platformě AIX

  1. Zkopírujte soubor pam_sso.aix ze složky \Unix\Bins na disku produktu Windows Server® 2008 R2 do složky /usr/lib/ v počítači s platformou IBM AIX.

  2. Změňte název souboru na pam_sso.aix.1.

  3. V počítači s platformou AIX se přihlaste jako uživatel root a potom spusťte následující příkaz:

    chown root /usr/lib/pam_sso.aix.1 chmod 555 /usr/lib/pam_sso.aix.1

  4. V případě potřeby vytvořte soubor /etc/pam.conf podle svých požadavků na síť a nastavte uživatele root jako vlastníka a základní oprávnění nastavte na 644. Další informace o vytváření souboru pam.conf naleznete v části týkající se modulů PAM (pluggable authentication module) v příručce System Management Guides: Security Guide v dokumentaci k platformě.

    Zde je ukázkový soubor pam.conf:

     

    #
# Authentication management
#
OTHER   auth     required       /usr/lib/security/pam_aix

#
# Account management
#
OTHER   account  required       /usr/lib/security/pam_aix

#
# Session management
#
OTHER   session  required       /usr/lib/security/pam_aix

  5. Otevřete soubor /etc/pam.conf v textovém editoru.

  6. Do oddílu Password management přidejte následující řádek:

    passwd password required /usr/lib/security/pam_sso.aix.1

    Zde je ukázkový soubor pam.conf po přidaní tohoto řádku:

     

    #
# Authentication management
#
OTHER   auth     required       /usr/lib/security/pam_aix

#
# Account management
#
OTHER   account  required       /usr/lib/security/pam_aix

#
# Session management
#
OTHER   session  required       /usr/lib/security/pam_aix

#
# Password management
#
passwd   password required       /usr/lib/security/pam_sso.aix.1

  7. Otevřete soubor /usr/lib/security/methods.cfg v textovém editoru a na konec souboru přidejte následující řádky:

    PAM:    program = /usr/lib/security/PAM

    PAMfiles:    options = auth=PAM,db=BUILTIN

  8. Otevřete soubor /etc/security/user v textovém editoru a přidejte ověřovací informace pro konkrétní uživatele, jejichž hesla chcete synchronizovat. Příklad:

    user1:    admin = false    SYSTEM = PAMfiles[*] AND "compat"    registry = PAMfiles
Poznámka

Výchozí část souboru /etc/security/user se můžete rozhodnout změnit tak, aby svá hesla mohli synchronizovat všichni uživatelé. V tom případě můžete k omezení přístupu k funkci Synchronizace hesel použít atribut SYNC_USERS v souboru /etc/sso.conf. Další informace naleznete v tématu Konfigurace funkce Synchronizace hesel v počítačích se systémem UNIX pomocí souboru sso.conf. Chcete-li zakázat synchronizaci hesel ze systému UNIX do systému Windows, odeberte ze souboru /etc/pam.conf položku přidanou v kroku 6.

Instalace modulu PAM na platformě HP-UX

Chcete-li nainstalovat modul PAM v počítačích s platformou Hewlett-Packard HP-UX, postupujte podle následujících pokynů:

Instalace modulu PAM na platformě HP-UX

  1. Zkopírujte soubor pam_sso.hpx ze složky \Unix\Bins na disku produktu Windows Server 2008 R2 do složky /usr/lib/security v počítači se systémem UNIX.

  2. Změňte název souboru na pam_sso.hp.1 a potom nastavte bity režimu souboru na 544.

    Poznámka

    Bity režimu souboru pam_sso.hp.1 musejí být nastaveny na 544 (o:r-x,g:r--,w:r--), jinak nebude správně fungovat.

  3. V počítači s platformou HP-UX otevřete soubor /etc/pam.conf v textovém editoru.

  4. V oddílu Password management vyhledejte následující řádek:

    other    password required      /usr/lib/security/libpam_unix.1

  5. Hned pod řádek vyhledaný v předcházejícím kroku přidejte následující řádek:

    other password required /usr/lib/security/pam_sso.hp.1
Poznámka

Chcete-li zakázat synchronizaci hesel ze systému UNIX do systému Windows, odeberte ze souboru /etc/pam.conf položku přidanou v kroku 5. Před instalací modulu pam_sso ověřte, zda je správně nainstalována a nakonfigurována podpora modulů PAM v počítači se systémem UNIX.

Ukázkový konfigurační soubor modulu PAM pro platformu HP-UX

V následujících ukázkách se používá typická konfigurace. Skutečný obsah těchto souborů se může lišit v závislosti na dané konfiguraci systému.

#
# PAM configuration
#
# Authentication management
#
login    auth required  /usr/lib/security/libpam_unix.1
su       auth required  /usr/lib/security/libpam_unix.1
dtlogin  auth required  /usr/lib/security/libpam_unix.1
dtaction auth required  /usr/lib/security/libpam_unix.1
ftp      auth required  /usr/lib/security/libpam_unix.1
OTHER    auth required  /usr/lib/security/libpam_unix.1
#
# Account management
#
login    account required       /usr/lib/security/libpam_unix.1
su       account required       /usr/lib/security/libpam_unix.1
dtlogin  account required       /usr/lib/security/libpam_unix.1
dtaction account required       /usr/lib/security/libpam_unix.1
ftp      account required       /usr/lib/security/libpam_unix.1
#
OTHER    account required       /usr/lib/security/libpam_unix.1
#
# Session management
#
login    session required       /usr/lib/security/libpam_unix.1
dtlogin  session required       /usr/lib/security/libpam_unix.1
dtaction session required       /usr/lib/security/libpam_unix.1
OTHER    session required       /usr/lib/security/libpam_unix.1
#
# Password management
#
login    password required      /usr/lib/security/libpam_unix.1
dtlogin  password required      /usr/lib/security/libpam_unix.1
dtaction password required      /usr/lib/security/libpam_unix.1
other    password required      /usr/lib/security/libpam_unix.1
other    password required      /usr/lib/security/pam_sso.hp.1

Instalace modulu PAM na platformě Linux

Chcete-li nainstalovat modul PAM v počítačích s platformou Linux, postupujte podle následujících pokynů:

Instalace modulu PAM na platformě Linux

  1. Zkopírujte soubor pam_sso.rhl ze složky \Unix\Bins na disku produktu Windows Server 2008 R2 do složky /lib/security v počítači se systémem UNIX a změňte jeho název na pam_sso.so.1.

  2. V počítači se systémem UNIX zkopírujte soubor /etc/pam.d/system-auth do složky /etc/pam.d/ssod.

  3. Otevřete soubor /etc/pam.d/system-auth v textovém editoru a vyhledejte následující řádek: 

    password…..required…../lib/security/pam_cracklib.so…..retry=3

  4. Pod řádek vyhledaný v předcházejícím kroku přidejte následující řádek:

    password required /lib/security/pam_sso.so.1

  5. Vyhledejte a odstraňte následující řádek: 

    Password    required    /lib/security/pam_deny.so

  6. Uložte změněný soubor.
Poznámka

Tyto pokyny platí pro typickou konfiguraci systému Linux. Pokud jste podporu modulů PAM nakonfigurovali odlišně, je možné, že bude nutné upravit tyto pokyny podle konkrétní konfigurace. Chcete-li zakázat synchronizaci hesel ze systému UNIX do systému Windows, odeberte ze souboru /etc/pam.d/system-auth položku přidanou v kroku 4. Před instalací modulu pam_sso ověřte, zda je správně nainstalována a nakonfigurována podpora modulů PAM v počítači se systémem UNIX.

Ukázkový konfigurační soubor modulu PAM pro platformu Linux

V následujících ukázkách se používá typická konfigurace. Skutečný obsah těchto souborů se může lišit v závislosti na dané konfiguraci systému. 

/etc/pam.d/passwd

#%PAM-1.0
auth       required     /lib/security/pam_stack.so service=system-auth
account    required     /lib/security/pam_stack.so service=system-auth
password   required     /lib/security/pam_stack.so service=system-auth


/etc/pam.d/ssod

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      /lib/security/pam_env.so
auth        sufficient    /lib/security/pam_unix.so likeauth nullok
auth        required      /lib/security/pam_deny.so

account     required      /lib/security/pam_unix.so

password    required      /lib/security/pam_cracklib.so retry=3 type=
password    sufficient    /lib/security/pam_unix.so nullok use_authtok shadow
password    required      /lib/security/pam_deny.so

session     required      /lib/security/pam_limits.so
session     required      /lib/security/pam_unix.so


/etc/pam.d/system-auth

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      /lib/security/pam_env.so
auth        sufficient    /lib/security/pam_unix.so likeauth nullok
auth        required      /lib/security/pam_deny.so

account     required      /lib/security/pam_unix.so

password    required      /lib/security/pam_cracklib.so retry=3 type=
password    required      /lib/security/pam_sso.so.1
password    sufficient    /lib/security/pam_unix.so nullok use_authtok shadow
password    required      /lib/security/pam_deny.so

session     required      /lib/security/pam_limits.so
session     required      /lib/security/pam_unix.so

Instalace modulu PAM na platformě Solaris

Chcete-li nainstalovat modul PAM v počítačích s platformou Sun Solaris, postupujte podle následujících pokynů:

Instalace modulu PAM na platformě Solaris

  1. Zkopírujte soubor pam_sso.sol ze složky \Unix\Bins na disku produktu Windows Server 2008 R2 do adresáře /usr/lib/security v počítači se systémem UNIX a změňte jeho název na pam_sso.so.1.

  2. V počítači se systémem UNIX otevřete soubor /etc/pam.conf v textovém editoru.

  3. V oddílu Password management vyhledejte následující řádek: 

    other password required /usr/lib/security/$ISA/pam_unix.so.1

  4. Hned pod řádek vyhledaný v kroku 3 přidejte následující řádek:

    other password required /usr/lib/security/$ISA/pam_sso.so.1
Poznámka

Chcete-li zakázat synchronizaci hesel ze systému UNIX do systému Windows, odeberte ze souboru /etc/pam.conf položku přidanou v kroku 4. Před instalací modulu pam_sso ověřte, zda je správně nainstalována a nakonfigurována podpora modulů PAM v počítači se systémem UNIX.

Ukázkový konfigurační soubor modulu PAM pro platformu Solaris

V následujících ukázkách se používá typická konfigurace. Skutečný obsah těchto souborů se může lišit v závislosti na dané konfiguraci systému.

#
#ident  "@(#)pam.conf   1.14    99/09/16 SMI"
#
# Copyright (c) 1996-1999, Sun Microsystems, Inc.
# All Rights Reserved.
#
# PAM configuration
#
# Authentication management
#
login   auth required   /usr/lib/security/$ISA/pam_unix.so.1
login   auth required   /usr/lib/security/$ISA/pam_dial_auth.so.1
#
rlogin  auth sufficient /usr/lib/security/$ISA/pam_rhosts_auth.so.1
rlogin  auth required   /usr/lib/security/$ISA/pam_unix.so.1
#
dtlogin auth required   /usr/lib/security/$ISA/pam_unix.so.1
#
rsh     auth required   /usr/lib/security/$ISA/pam_rhosts_auth.so.1
other   auth required   /usr/lib/security/$ISA/pam_unix.so.1
#
# Account management
#
login   account requisite       /usr/lib/security/$ISA/pam_roles.so.1
login   account required        /usr/lib/security/$ISA/pam_unix.so.1
#
dtlogin account requisite       /usr/lib/security/$ISA/pam_roles.so.1
dtlogin account required        /usr/lib/security/$ISA/pam_unix.so.1
#
other   account requisite       /usr/lib/security/$ISA/pam_roles.so.1
other   account required        /usr/lib/security/$ISA/pam_unix.so.1
#
# Session management
#
other   session required        /usr/lib/security/$ISA/pam_unix.so.1
#
# Password management
#

other   password required       /usr/lib/security/$ISA/pam_unix.so.1
other  password required        /usr/lib/security/$ISA/pam_sso.so.1
dtsession auth required /usr/lib/security/$ISA/pam_unix.so.1

#
# Support for Kerberos V5 authentication (uncomment to use Kerberos)
#
#rlogin auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#login  auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#dtlogin        auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#other  auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#dtlogin        account optional /usr/lib/security/$ISA/pam_krb5.so.1
#other  account optional /usr/lib/security/$ISA/pam_krb5.so.1
#other  session optional /usr/lib/security/$ISA/pam_krb5.so.1
#other  password optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass

Obsah