Dieser Abschnitt enthält Anweisungen für die Installation des Moduls zur austauschbaren Authentifizierung (Pluggable Authentication Module, PAM) auf Computern unter einer der folgenden vier UNIX-basierten Betriebssystemfamilien:

So installieren Sie das Modul zur austauschbaren Authentifizierung (PAM) unter AIX

Führen Sie die folgenden Schritte aus, um PAM auf Computern unter IBM AIX zu installieren.

So installieren Sie PAM unter AIX
  1. Kopieren Sie die Datei pam_sso.aix aus dem Verzeichnis \Unix\Bins auf dem Windows Server® 2008 R2-Produktdatenträger in das Verzeichnis /usr/lib/ auf dem Computer unter IBM AIX.

  2. Ändern Sie den Dateinamen in pam_sso.aix.1.

  3. Melden Sie sich beim Computer unter AIX als root an, und führen Sie dann den folgenden Befehl aus:

    chown root /usr/lib/pam_sso.aix.1 chmod 555 /usr/lib/pam_sso.aix.1

  4. Erstellen Sie gegebenenfalls die Datei /etc/pam.conf gemäß den Netzwerkanforderungen und legen Sie den Benutzer auf root und die Basisberechtigungen auf 644 fest. Weitere Informationen zum Erstellen der Datei pam.conf finden Sie unter "Pluggable Authentication Modules" in System Management Guides: Security Guide in der AIX-Dokumentation.

    Das folgende Beispiel zeigt eine Datei pam.conf

     

    #
    # Authentication management
    #
    OTHER   auth     required       /usr/lib/security/pam_aix
    
    #
    # Account management
    #
    OTHER   account  required       /usr/lib/security/pam_aix
    
    #
    # Session management
    #
    OTHER   session  required       /usr/lib/security/pam_aix
    
  5. Öffnen Sie /etc/pam.conf mit einem Text-Editor.

  6. Fügen Sie dem Abschnitt Password management folgende Zeile hinzu:

    passwd password required /usr/lib/security/pam_sso.aix.1

    Das folgende Beispiel zeigt eine Datei pam.conf, in der diese Zeile hinzugefügt ist.

     

    #
    # Authentication management
    #
    OTHER   auth     required       /usr/lib/security/pam_aix
    
    #
    # Account management
    #
    OTHER   account  required       /usr/lib/security/pam_aix
    
    #
    # Session management
    #
    OTHER   session  required       /usr/lib/security/pam_aix
    
    #
    # Password management
    #
    passwd   password required       /usr/lib/security/pam_sso.aix.1
  7. Öffnen Sie /usr/lib/security/methods.cfg mit einem Text-Editor, und fügen Sie am Ende der Datei folgende Zeilen ein:

    PAM:    program = /usr/lib/security/PAM

    PAMfiles:    options = auth=PAM,db=BUILTIN

  8. Öffnen Sie /etc/security/user mit einem Text-Editor, und fügen Sie Authentifizierungsinformationen für die spezifischen Benutzer hinzu, deren Kennwörter Sie synchronisieren möchten. Beispiel:

    user1:    admin = false    SYSTEM = PAMfiles[*] AND "compat"    registry = PAMfiles
Hinweis

Sie können den Standardabschnitt von /etc/security/user ändern, um allen Benutzern die Synchronisierung ihrer Kennwörter zu ermöglichen. Zur Einschränkung des Zugriffs auf die Kennwortsynchronisierung können Sie in diesem Fall das Attribut SYNC_USERS in der Datei /etc/sso.conf verwenden. Weitere Informationen finden Sie unter Verwenden von "sso.conf" zum Konfigurieren der Kennwortsynchronisierung auf UNIX-basierten Computern. Wenn Sie die Kennwortsynchronisierung von UNIX zu Windows deaktivieren möchten, entfernen Sie den Eintrag in /etc/pam.conf, den Sie in Schritt 6 hinzugefügt haben.

So installieren Sie das Modul zur austauschbaren Authentifizierung (PAM) unter HP-UX

Führen Sie die folgenden Schritte aus, um PAM auf Computern unter Hewlett-Packard HP-UX zu installieren.

So installieren Sie PAM unter HP-UX
  1. Kopieren Sie die Datei pam_sso.hpx aus dem Verzeichnis \Unix\Bins auf dem Windows Server 2008 R2-Produktdatenträger in das Verzeichnis /usr/lib/security auf dem UNIX-Computer.

  2. Ändern Sie den Dateinamen in pam_sso.hp.1, und legen Sie dann die Bits für den Dateimodus auf 544 fest.

    Hinweis

    Die Bits für den Dateimodus für pam_sso.hp.1 müssen für eine fehlerfreie Ausführung auf 544 (o:r-x,g:r--,w:r--) festgelegt sein.

  3. Öffnen Sie auf dem Computer unter HP-UX /etc/pam.conf mit einem Text-Editor.

  4. Suchen Sie im Abschnitt Password management die folgende Zeile:

    other    password required      /usr/lib/security/libpam_unix.1
  5. Fügen Sie direkt nach dieser Zeile folgende Zeile ein:

    other password required /usr/lib/security/pam_sso.hp.1

Hinweis

Wenn Sie die Kennwortsynchronisierung von UNIX zu Windows deaktivieren möchten, entfernen Sie den Eintrag in /etc/pam.conf, den Sie in Schritt 5 hinzugefügt haben. Stellen Sie vor der Installation des Moduls pam_sso sicher, dass auf dem UNIX-Computer die Unterstützung für PAM richtig installiert und konfiguriert ist.

Beispiel für eine PAM-Konfigurationsdatei unter HP-UX

Die folgenden Dateibeispiele zeigen eine typische Konfiguration. Je nach Systemkonfiguration kann der Inhalt dieser Dateien abweichen.

#
# PAM configuration
#
# Authentication management
#
login    auth required  /usr/lib/security/libpam_unix.1
su       auth required  /usr/lib/security/libpam_unix.1
dtlogin  auth required  /usr/lib/security/libpam_unix.1
dtaction auth required  /usr/lib/security/libpam_unix.1
ftp      auth required  /usr/lib/security/libpam_unix.1
OTHER    auth required  /usr/lib/security/libpam_unix.1
#
# Account management
#
login    account required       /usr/lib/security/libpam_unix.1
su       account required       /usr/lib/security/libpam_unix.1
dtlogin  account required       /usr/lib/security/libpam_unix.1
dtaction account required       /usr/lib/security/libpam_unix.1
ftp      account required       /usr/lib/security/libpam_unix.1
#
OTHER    account required       /usr/lib/security/libpam_unix.1
#
# Session management
#
login    session required       /usr/lib/security/libpam_unix.1
dtlogin  session required       /usr/lib/security/libpam_unix.1
dtaction session required       /usr/lib/security/libpam_unix.1
OTHER    session required       /usr/lib/security/libpam_unix.1
#
# Password management
#
login    password required      /usr/lib/security/libpam_unix.1
dtlogin  password required      /usr/lib/security/libpam_unix.1
dtaction password required      /usr/lib/security/libpam_unix.1
other    password required      /usr/lib/security/libpam_unix.1
other    password required      /usr/lib/security/pam_sso.hp.1

So installieren Sie das Modul zur austauschbaren Authentifizierung (PAM) unter Linux

Führen Sie die folgenden Schritte aus, um PAM auf Computern unter Linux zu installieren.

So installieren Sie PAM unter Linux
  1. Kopieren Sie pam_sso.rhl aus dem Verzeichnis \Unix\Bins auf dem Windows Server 2008 R2-Produktdatenträger in das Verzeichnis /lib/security auf dem UNIX-Computer, und ändern Sie den Namen in pam_sso.so.1.

  2. Kopieren Sie auf dem UNIX-Computer die Datei /etc/pam.d/system-auth in das Verzeichnis /etc/pam.d/ssod.

  3. Öffnen Sie die Datei /etc/pam.d/system-auth mit einem Text-Editor, und suchen Sie die folgende Zeile:

    password…..required…../lib/security/pam_cracklib.so…..retry=3
  4. Fügen Sie hinter dieser Zeile die folgende Zeile ein:

    password required /lib/security/pam_sso.so.1

  5. Suchen Sie die folgende Zeile, und löschen Sie sie:

    Password    required    /lib/security/pam_deny.so
  6. Speichern Sie die geänderte Datei.

Hinweis

Diese Anweisungen gelten für eine Linux-Standardkonfiguration. Wenn die Unterstützung für PAM anders konfiguriert wurde, müssen Sie diese Anweisungen Ihrer Konfiguration entsprechend anpassen. Wenn Sie die Kennwortsynchronisierung von UNIX zu Windows deaktivieren möchten, entfernen Sie den Eintrag in /etc/pam.d/system-auth, den Sie in Schritt 4 hinzugefügt haben. Stellen Sie vor der Installation des Moduls pam_sso sicher, dass auf dem UNIX-Computer die Unterstützung für PAM richtig installiert und konfiguriert ist.

Beispiel für eine PAM-Konfigurationsdatei unter Linux

Die folgenden Dateibeispiele zeigen eine typische Konfiguration. Je nach Systemkonfiguration kann der tatsächliche Inhalt dieser Dateien abweichen.

/etc/pam.d/passwd

#%PAM-1.0
auth       required     /lib/security/pam_stack.so service=system-auth
account    required     /lib/security/pam_stack.so service=system-auth
password   required     /lib/security/pam_stack.so service=system-auth


/etc/pam.d/ssod

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      /lib/security/pam_env.so
auth        sufficient    /lib/security/pam_unix.so likeauth nullok
auth        required      /lib/security/pam_deny.so

account     required      /lib/security/pam_unix.so

password    required      /lib/security/pam_cracklib.so retry=3 type=
password    sufficient    /lib/security/pam_unix.so nullok use_authtok shadow
password    required      /lib/security/pam_deny.so

session     required      /lib/security/pam_limits.so
session     required      /lib/security/pam_unix.so


/etc/pam.d/system-auth

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      /lib/security/pam_env.so
auth        sufficient    /lib/security/pam_unix.so likeauth nullok
auth        required      /lib/security/pam_deny.so

account     required      /lib/security/pam_unix.so

password    required      /lib/security/pam_cracklib.so retry=3 type=
password    required      /lib/security/pam_sso.so.1
password    sufficient    /lib/security/pam_unix.so nullok use_authtok shadow
password    required      /lib/security/pam_deny.so

session     required      /lib/security/pam_limits.so
session     required      /lib/security/pam_unix.so

So installieren Sie das Modul zur austauschbaren Authentifizierung (PAM) unter Solaris

Führen Sie die folgenden Schritte aus, um PAM auf Computern unter Sun Solaris zu installieren.

So installieren Sie PAM unter Solaris
  1. Kopieren Sie pam_sso.sol aus dem Ordner \Unix\Bins auf der Produkt-CD von Windows Server 2008 R2 in das Verzeichnis /usr/lib/security auf dem UNIX-Computer, und ändern Sie den Namen in pam_sso.so.1.

  2. Öffnen Sie auf dem UNIX-Computer /etc/pam.conf mit einem Text-Editor.

  3. Suchen Sie im Abschnitt Password management die folgende Zeile:

    other password required /usr/lib/security/$ISA/pam_unix.so.1
  4. Fügen Sie direkt nach der Zeile aus Schritt 3 die folgende Zeile ein:

    other password required /usr/lib/security/$ISA/pam_sso.so.1

Hinweis

Wenn Sie die Kennwortsynchronisierung von UNIX zu Windows deaktivieren möchten, entfernen Sie den Eintrag in /etc/pam.conf, den Sie in Schritt 4 hinzugefügt haben. Stellen Sie vor der Installation des Moduls pam_sso sicher, dass auf dem UNIX-Computer die Unterstützung für PAM richtig installiert und konfiguriert ist.

Beispiel für eine PAM-Konfigurationsdatei unter Solaris

Die folgenden Dateibeispiele zeigen eine typische Konfiguration. Je nach Systemkonfiguration kann der tatsächliche Inhalt dieser Dateien abweichen.

#
#ident  "@(#)pam.conf   1.14    99/09/16 SMI"
#
# Copyright (c) 1996-1999, Sun Microsystems, Inc.
# All Rights Reserved.
#
# PAM configuration
#
# Authentication management
#
login   auth required   /usr/lib/security/$ISA/pam_unix.so.1
login   auth required   /usr/lib/security/$ISA/pam_dial_auth.so.1
#
rlogin  auth sufficient /usr/lib/security/$ISA/pam_rhosts_auth.so.1
rlogin  auth required   /usr/lib/security/$ISA/pam_unix.so.1
#
dtlogin auth required   /usr/lib/security/$ISA/pam_unix.so.1
#
rsh     auth required   /usr/lib/security/$ISA/pam_rhosts_auth.so.1
other   auth required   /usr/lib/security/$ISA/pam_unix.so.1
#
# Account management
#
login   account requisite       /usr/lib/security/$ISA/pam_roles.so.1
login   account required        /usr/lib/security/$ISA/pam_unix.so.1
#
dtlogin account requisite       /usr/lib/security/$ISA/pam_roles.so.1
dtlogin account required        /usr/lib/security/$ISA/pam_unix.so.1
#
other   account requisite       /usr/lib/security/$ISA/pam_roles.so.1
other   account required        /usr/lib/security/$ISA/pam_unix.so.1
#
# Session management
#
other   session required        /usr/lib/security/$ISA/pam_unix.so.1
#
# Password management
#

other   password required       /usr/lib/security/$ISA/pam_unix.so.1
other  password required        /usr/lib/security/$ISA/pam_sso.so.1
dtsession auth required /usr/lib/security/$ISA/pam_unix.so.1

#
# Support for Kerberos V5 authentication (uncomment to use Kerberos)
#
#rlogin auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#login  auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#dtlogin        auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#other  auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#dtlogin        account optional /usr/lib/security/$ISA/pam_krb5.so.1
#other  account optional /usr/lib/security/$ISA/pam_krb5.so.1
#other  session optional /usr/lib/security/$ISA/pam_krb5.so.1
#other  password optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass

Inhaltsverzeichnis