Dieser Abschnitt enthält Anweisungen für die Installation des Moduls zur austauschbaren Authentifizierung (Pluggable Authentication Module, PAM) auf Computern unter einer der folgenden vier UNIX-basierten Betriebssystemfamilien:
So installieren Sie das Modul zur austauschbaren Authentifizierung (PAM) unter AIX
Führen Sie die folgenden Schritte aus, um PAM auf Computern unter IBM AIX zu installieren.
 | So installieren Sie PAM unter AIX |
Kopieren Sie die Datei pam_sso.aix aus dem Verzeichnis \Unix\Bins auf dem Windows Server® 2008 R2-Produktdatenträger in das Verzeichnis /usr/lib/ auf dem Computer unter IBM AIX.
Ändern Sie den Dateinamen in pam_sso.aix.1.
Melden Sie sich beim Computer unter AIX als root an, und führen Sie dann den folgenden Befehl aus:
chown root /usr/lib/pam_sso.aix.1 chmod 555 /usr/lib/pam_sso.aix.1
Erstellen Sie gegebenenfalls die Datei /etc/pam.conf gemäß den Netzwerkanforderungen und legen Sie den Benutzer auf root und die Basisberechtigungen auf 644 fest. Weitere Informationen zum Erstellen der Datei pam.conf finden Sie unter "Pluggable Authentication Modules" in System Management Guides: Security Guide in der AIX-Dokumentation.
Das folgende Beispiel zeigt eine Datei pam.conf
# # Authentication management # OTHER auth required /usr/lib/security/pam_aix # # Account management # OTHER account required /usr/lib/security/pam_aix # # Session management # OTHER session required /usr/lib/security/pam_aix
Öffnen Sie /etc/pam.conf mit einem Text-Editor.
Fügen Sie dem Abschnitt Password management folgende Zeile hinzu:
passwd password required /usr/lib/security/pam_sso.aix.1
Das folgende Beispiel zeigt eine Datei pam.conf, in der diese Zeile hinzugefügt ist.
# # Authentication management # OTHER auth required /usr/lib/security/pam_aix # # Account management # OTHER account required /usr/lib/security/pam_aix # # Session management # OTHER session required /usr/lib/security/pam_aix # # Password management # passwd password required /usr/lib/security/pam_sso.aix.1
Öffnen Sie /usr/lib/security/methods.cfg mit einem Text-Editor, und fügen Sie am Ende der Datei folgende Zeilen ein:
PAM: program = /usr/lib/security/PAM
PAMfiles: options = auth=PAM,db=BUILTIN
Öffnen Sie /etc/security/user mit einem Text-Editor, und fügen Sie Authentifizierungsinformationen für die spezifischen Benutzer hinzu, deren Kennwörter Sie synchronisieren möchten. Beispiel:
user1: admin = false SYSTEM = PAMfiles[*] AND "compat" registry = PAMfiles
 | Hinweis |
|
Sie können den Standardabschnitt von /etc/security/user ändern, um allen Benutzern die Synchronisierung ihrer Kennwörter zu ermöglichen. Zur Einschränkung des Zugriffs auf die Kennwortsynchronisierung können Sie in diesem Fall das Attribut SYNC_USERS in der Datei /etc/sso.conf verwenden. Weitere Informationen finden Sie unter Verwenden von "sso.conf" zum Konfigurieren der Kennwortsynchronisierung auf UNIX-basierten Computern. Wenn Sie die Kennwortsynchronisierung von UNIX zu Windows deaktivieren möchten, entfernen Sie den Eintrag in /etc/pam.conf, den Sie in Schritt 6 hinzugefügt haben. |
So installieren Sie das Modul zur austauschbaren Authentifizierung (PAM) unter HP-UX
Führen Sie die folgenden Schritte aus, um PAM auf Computern unter Hewlett-Packard HP-UX zu installieren.
| So installieren Sie PAM unter HP-UX |
Kopieren Sie die Datei pam_sso.hpx aus dem Verzeichnis \Unix\Bins auf dem Windows Server 2008 R2-Produktdatenträger in das Verzeichnis /usr/lib/security auf dem UNIX-Computer.
Ändern Sie den Dateinamen in pam_sso.hp.1, und legen Sie dann die Bits für den Dateimodus auf 544 fest.
Hinweis Die Bits für den Dateimodus für pam_sso.hp.1 müssen für eine fehlerfreie Ausführung auf 544 (o:r-x,g:r--,w:r--) festgelegt sein.
Öffnen Sie auf dem Computer unter HP-UX /etc/pam.conf mit einem Text-Editor.
Suchen Sie im Abschnitt Password management die folgende Zeile:
other password required /usr/lib/security/libpam_unix.1
Fügen Sie direkt nach dieser Zeile folgende Zeile ein:
other password required /usr/lib/security/pam_sso.hp.1
| Hinweis |
|
Wenn Sie die Kennwortsynchronisierung von UNIX zu Windows deaktivieren möchten, entfernen Sie den Eintrag in /etc/pam.conf, den Sie in Schritt 5 hinzugefügt haben. Stellen Sie vor der Installation des Moduls pam_sso sicher, dass auf dem UNIX-Computer die Unterstützung für PAM richtig installiert und konfiguriert ist. |
Beispiel für eine PAM-Konfigurationsdatei unter HP-UX
Die folgenden Dateibeispiele zeigen eine typische Konfiguration. Je nach Systemkonfiguration kann der Inhalt dieser Dateien abweichen.
# # PAM configuration # # Authentication management # login auth required /usr/lib/security/libpam_unix.1 su auth required /usr/lib/security/libpam_unix.1 dtlogin auth required /usr/lib/security/libpam_unix.1 dtaction auth required /usr/lib/security/libpam_unix.1 ftp auth required /usr/lib/security/libpam_unix.1 OTHER auth required /usr/lib/security/libpam_unix.1 # # Account management # login account required /usr/lib/security/libpam_unix.1 su account required /usr/lib/security/libpam_unix.1 dtlogin account required /usr/lib/security/libpam_unix.1 dtaction account required /usr/lib/security/libpam_unix.1 ftp account required /usr/lib/security/libpam_unix.1 # OTHER account required /usr/lib/security/libpam_unix.1 # # Session management # login session required /usr/lib/security/libpam_unix.1 dtlogin session required /usr/lib/security/libpam_unix.1 dtaction session required /usr/lib/security/libpam_unix.1 OTHER session required /usr/lib/security/libpam_unix.1 # # Password management # login password required /usr/lib/security/libpam_unix.1 dtlogin password required /usr/lib/security/libpam_unix.1 dtaction password required /usr/lib/security/libpam_unix.1 other password required /usr/lib/security/libpam_unix.1 other password required /usr/lib/security/pam_sso.hp.1
So installieren Sie das Modul zur austauschbaren Authentifizierung (PAM) unter Linux
Führen Sie die folgenden Schritte aus, um PAM auf Computern unter Linux zu installieren.
| So installieren Sie PAM unter Linux |
Kopieren Sie pam_sso.rhl aus dem Verzeichnis \Unix\Bins auf dem Windows Server 2008 R2-Produktdatenträger in das Verzeichnis /lib/security auf dem UNIX-Computer, und ändern Sie den Namen in pam_sso.so.1.
Kopieren Sie auf dem UNIX-Computer die Datei /etc/pam.d/system-auth in das Verzeichnis /etc/pam.d/ssod.
Öffnen Sie die Datei /etc/pam.d/system-auth mit einem Text-Editor, und suchen Sie die folgende Zeile:
password…..required…../lib/security/pam_cracklib.so…..retry=3
Fügen Sie hinter dieser Zeile die folgende Zeile ein:
password required /lib/security/pam_sso.so.1
Suchen Sie die folgende Zeile, und löschen Sie sie:
Password required /lib/security/pam_deny.so
Speichern Sie die geänderte Datei.
| Hinweis |
|
Diese Anweisungen gelten für eine Linux-Standardkonfiguration. Wenn die Unterstützung für PAM anders konfiguriert wurde, müssen Sie diese Anweisungen Ihrer Konfiguration entsprechend anpassen. Wenn Sie die Kennwortsynchronisierung von UNIX zu Windows deaktivieren möchten, entfernen Sie den Eintrag in /etc/pam.d/system-auth, den Sie in Schritt 4 hinzugefügt haben. Stellen Sie vor der Installation des Moduls pam_sso sicher, dass auf dem UNIX-Computer die Unterstützung für PAM richtig installiert und konfiguriert ist. |
Beispiel für eine PAM-Konfigurationsdatei unter Linux
Die folgenden Dateibeispiele zeigen eine typische Konfiguration. Je nach Systemkonfiguration kann der tatsächliche Inhalt dieser Dateien abweichen.
/etc/pam.d/passwd #%PAM-1.0 auth required /lib/security/pam_stack.so service=system-auth account required /lib/security/pam_stack.so service=system-auth password required /lib/security/pam_stack.so service=system-auth /etc/pam.d/ssod #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required /lib/security/pam_env.so auth sufficient /lib/security/pam_unix.so likeauth nullok auth required /lib/security/pam_deny.so account required /lib/security/pam_unix.so password required /lib/security/pam_cracklib.so retry=3 type= password sufficient /lib/security/pam_unix.so nullok use_authtok shadow password required /lib/security/pam_deny.so session required /lib/security/pam_limits.so session required /lib/security/pam_unix.so /etc/pam.d/system-auth #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required /lib/security/pam_env.so auth sufficient /lib/security/pam_unix.so likeauth nullok auth required /lib/security/pam_deny.so account required /lib/security/pam_unix.so password required /lib/security/pam_cracklib.so retry=3 type= password required /lib/security/pam_sso.so.1 password sufficient /lib/security/pam_unix.so nullok use_authtok shadow password required /lib/security/pam_deny.so session required /lib/security/pam_limits.so session required /lib/security/pam_unix.so
So installieren Sie das Modul zur austauschbaren Authentifizierung (PAM) unter Solaris
Führen Sie die folgenden Schritte aus, um PAM auf Computern unter Sun Solaris zu installieren.
| So installieren Sie PAM unter Solaris |
Kopieren Sie pam_sso.sol aus dem Ordner \Unix\Bins auf der Produkt-CD von Windows Server 2008 R2 in das Verzeichnis /usr/lib/security auf dem UNIX-Computer, und ändern Sie den Namen in pam_sso.so.1.
Öffnen Sie auf dem UNIX-Computer /etc/pam.conf mit einem Text-Editor.
Suchen Sie im Abschnitt Password management die folgende Zeile:
other password required /usr/lib/security/$ISA/pam_unix.so.1
Fügen Sie direkt nach der Zeile aus Schritt 3 die folgende Zeile ein:
other password required /usr/lib/security/$ISA/pam_sso.so.1
| Hinweis |
|
Wenn Sie die Kennwortsynchronisierung von UNIX zu Windows deaktivieren möchten, entfernen Sie den Eintrag in /etc/pam.conf, den Sie in Schritt 4 hinzugefügt haben. Stellen Sie vor der Installation des Moduls pam_sso sicher, dass auf dem UNIX-Computer die Unterstützung für PAM richtig installiert und konfiguriert ist. |
Beispiel für eine PAM-Konfigurationsdatei unter Solaris
Die folgenden Dateibeispiele zeigen eine typische Konfiguration. Je nach Systemkonfiguration kann der tatsächliche Inhalt dieser Dateien abweichen.
# #ident "@(#)pam.conf 1.14 99/09/16 SMI" # # Copyright (c) 1996-1999, Sun Microsystems, Inc. # All Rights Reserved. # # PAM configuration # # Authentication management # login auth required /usr/lib/security/$ISA/pam_unix.so.1 login auth required /usr/lib/security/$ISA/pam_dial_auth.so.1 # rlogin auth sufficient /usr/lib/security/$ISA/pam_rhosts_auth.so.1 rlogin auth required /usr/lib/security/$ISA/pam_unix.so.1 # dtlogin auth required /usr/lib/security/$ISA/pam_unix.so.1 # rsh auth required /usr/lib/security/$ISA/pam_rhosts_auth.so.1 other auth required /usr/lib/security/$ISA/pam_unix.so.1 # # Account management # login account requisite /usr/lib/security/$ISA/pam_roles.so.1 login account required /usr/lib/security/$ISA/pam_unix.so.1 # dtlogin account requisite /usr/lib/security/$ISA/pam_roles.so.1 dtlogin account required /usr/lib/security/$ISA/pam_unix.so.1 # other account requisite /usr/lib/security/$ISA/pam_roles.so.1 other account required /usr/lib/security/$ISA/pam_unix.so.1 # # Session management # other session required /usr/lib/security/$ISA/pam_unix.so.1 # # Password management # other password required /usr/lib/security/$ISA/pam_unix.so.1 other password required /usr/lib/security/$ISA/pam_sso.so.1 dtsession auth required /usr/lib/security/$ISA/pam_unix.so.1 # # Support for Kerberos V5 authentication (uncomment to use Kerberos) # #rlogin auth optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass #login auth optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass #dtlogin auth optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass #other auth optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass #dtlogin account optional /usr/lib/security/$ISA/pam_krb5.so.1 #other account optional /usr/lib/security/$ISA/pam_krb5.so.1 #other session optional /usr/lib/security/$ISA/pam_krb5.so.1 #other password optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass