Utiliser sso.conf pour configurer la synchronisation de mot de passe sur l’ordinateur UNIX

Pour personnaliser la synchronisation de mot de passe sur un ordinateur UNIX, modifiez les paramètres du fichier sso.conf. Pour plus d’informations sur l’installation du fichier sso.conf, voir Installer le démon Synchronisation de mot de passe sur des ordinateurs UNIX.

Le tableau suivant décrit les valeurs que vous pouvez définir dans le fichier sso.conf.

Valeur Description

CASE_IGNORE_NAME

Indique si la synchronisation de mot de passe doit ignorer les majuscules et minuscules dans les noms d’utilisateurs Windows et UNIX lors des comparaisons. Pour autoriser les comparaisons sans respect de la casse, choisissez 1 pour cette entrée (c’est la valeur par défaut). Pour obliger la synchronisation de mot de passe à utiliser les comparaisons en respectant la casse, choisissez 0.

ENCRYPT_KEY

Spécifie la clé de chiffrement par défaut pour chiffrer les mots de passe échangés avec des serveurs Windows. Vous pouvez utiliser les paramètres de la valeur SYNC_HOSTS pour spécifier une autre clé de chiffrement pour un serveur Windows spécifique.

FILE_PATH

Spécifie le chemin d’accès complet et le nom du fichier passwd ou shadow (par exemple /etc/passwd). Ce fichier doit contenir les mots de passe chiffrés des utilisateurs, et le type de fichier (passwd ou shadow) doit être identique à celui spécifié par USE_SHADOW. Sur les systèmes AIX, le chemin et le nom du fichier shadow sont /etc/security/passwd.

IGNORE_PROPAGATION_ERRORS

Avec la valeur 1, ce paramètre spécifie que le module PAM Synchronisation de mot de passe doit ignorer les erreurs qui se produisent lors de la modification d’un mot de passe Windows et continuer la synchronisation avec les autres hôtes spécifiés dans SYNC_HOSTS.

NIS_UPDATE_PATH

Spécifie le chemin d’accès complet au fichier Make NIS. Cette valeur est ignorée, sauf si USE_NIS a la valeur 1.

PORT_NUMBER

Spécifie le numéro par défaut du port sur lequel le démon Synchronisation de mot de passe écoutera les modifications de mot de passe émanant des serveurs Windows. Vous pouvez utiliser les paramètres de la valeur SYNC_HOSTS pour spécifier un autre numéro de port pour un serveur Windows spécifique.

SYNC_DELAY

Indique la durée d’attente en secondes du module PAM Synchronisation de mot de passe entre les tentatives de synchronisation.

SYNC_HOSTS

Spécifie les serveurs ou contrôleurs de domaine Windows avec lesquels les mots de passe doivent être synchronisés. Par ailleurs, vous pouvez spécifier un numéro de port ou une clé de chiffrement (ou les deux) pour un serveur spécifique. Placez chaque entrée entre parenthèses et séparez les éléments par des espaces. Plusieurs entrées peuvent figurer sur des lignes distinctes, si elles ne dépassent pas 269 caractères. La concaténation de toutes les entrées produit la liste de tous les serveurs ou contrôleurs de domaine. Par exemple :

SYNC_HOSTS=(Marketing) 
SYNC_HOSTS=(Sales,ASDFhjkl4321ZyXw) (Accounting,6678) 
SYNC_HOSTS=(Shipping,6678,ASDFhjkl4321ZyXw)

synchronise les mots de passe avec le serveur Marketing en utilisant le port et la clé de chiffrement par défaut ; le serveur Sales utilise ASDFhjkl4321ZyXw comme clé de chiffrement, le serveur Accounting utilise le numéro de port 6678 et le serveur Shipping utilise le numéro de port 6678 et la clé de chiffrement ASDFhjkl4321ZyXw.

Si vous utilisez des paramètres de clé de chiffrement et de numéro de port spécifiques au serveur, vous devez utiliser les mêmes valeurs pour configurer la synchronisation de mot de passe sur le serveur Windows, sinon les mots de passe ne seront pas synchronisés.

SYNC_RETRIES

Indique le nombre de tentatives de synchronisation d’un changement de mot de passe, par le module PAM Synchronisation de mot de passe, avec un serveur ou un contrôleur de domaine Windows.

SYNC_USERS

Spécifie les utilisateurs UNIX dont les mots de passe doivent être synchronisés. Vous pouvez spécifier ALL pour synchroniser les mots de passe de tous les utilisateurs ou NONE pour désactiver cette synchronisation. Vous pouvez également spécifier des utilisateurs particuliers. Si vous spécifiez un ou plusieurs utilisateurs précédés d’un signe plus (+), seuls les mots de passe de ces utilisateurs seront synchronisés. Si vous spécifiez un ou plusieurs utilisateurs précédés d’un signe moins (), les mots de passe seront synchronisés pour tous les utilisateurs sauf ceux spécifiés. Par exemple, pour que seuls les mots de passe des utilisateurs bobg et kimr soient synchronisés, spécifiez :

SYNC_USERS=+bobg +kimr

Pour empêcher la synchronisation de mot de passe de root et de bobg uniquement, spécifiez :

SYNC_USERS=–root –bobg

Le signe moins a toujours la priorité, quel que soit l’ordre des entrées. Par exemple, le code ci-dessous spécifie que le mot de passe de l’utilisateur chrisa ne sera pas synchronisé :

SYNC_USERS=+chrisa –chrisa +chrisa

TEMP_FILE_PATH

Spécifie le chemin d’accès complet du répertoire à utiliser pour stocker un fichier temporaire pendant la mise à jour du fichier passwd ou shadow. Ce répertoire doit être le même que celui du fichier passwd ou shadow. Pour des raisons de sécurité, seul l’administrateur doit avoir accès à ce répertoire.

USE_NIS

Choisissez la valeur 0 si la synchronisation de mot de passe n’a pas lieu avec un domaine NIS (Network Information Service) ; sinon, choisissez la valeur 1. Si USE_NIS a la valeur 1, spécifiez un chemin valide pour NIS_UPDATE_PATH.

USE_SHADOW

Choisissez la valeur 0 si le fichier passwd doit être utilisé pour la synchronisation ; choisissez la valeur 1 si c’est le fichier shadow qui doit être utilisé.