La section contient des instructions sur l’installation du module PAM (Pluggable Authentication Module) sur les ordinateurs exécutant n’importe laquelle des quatre familles de système d’exploitation UNIX suivantes :
Pour installer le PAM (Pluggable Authentication Module) sur AIX
Suivez les étapes ci-dessous pour installer le PAM sur des ordinateurs qui exécutent IBM AIX.
 | Pour installer le PAM sur AIX |
Copiez le fichier pam_sso.aix depuis \Unix\Bins sur le CD du produit Windows Server® 2008 R2 vers /usr/lib/ sur l’ordinateur exécutant IBM AIX.
Modifiez le nom de fichier par pam_sso.aix.1.
Sur l’ordinateur exécutant AIX, connectez-vous comme utilisateur root, puis exécutez la commande suivante :
chown root /usr/lib/pam_sso.aix.1 chmod 555 /usr/lib/pam_sso.aix.1
Si nécessaire, créez le fichier /etc/pam.conf en fonction des besoins de votre réseau, en choisissant l’utilisateur racine comme propriétaire et en définissant les autorisations de base à 644. Pour plus d’informations sur la création du fichier pam.conf, voir « Pluggable Authentication Modules » (éventuellement en anglais) dans le System Management Guides: Security Guide de votre documentation AIX.
Ci-dessous figure un exemple du fichier pam.conf
# # Authentication management # OTHER auth required /usr/lib/security/pam_aix # # Account management # OTHER account required /usr/lib/security/pam_aix # # Session management # OTHER session required /usr/lib/security/pam_aix
Ouvrez /etc/pam.conf avec un éditeur de texte.
Dans la section Password management, ajoutez la ligne suivante :
passwd password required /usr/lib/security/pam_sso.aix.1
Ci-dessous figure un exemple du fichier pam.conf avec cette ligne ajoutée.
# # Authentication management # OTHER auth required /usr/lib/security/pam_aix # # Account management # OTHER account required /usr/lib/security/pam_aix # # Session management # OTHER session required /usr/lib/security/pam_aix # # Password management # passwd password required /usr/lib/security/pam_sso.aix.1
Ouvrez /usr/lib/security/methods.cfg avec un éditeur de texte et ajoutez les lignes suivantes à la fin du fichier :
PAM: program = /usr/lib/security/PAM
PAMfiles: options = auth=PAM,db=BUILTIN
Ouvrez /etc/security/user avec un éditeur de texte et ajoutez des informations d’authentification pour les utilisateurs dont vous souhaitez synchroniser les mots de passe. Par exemple :
user1: admin = false SYSTEM = PAMfiles[*] AND "compat" registry = PAMfiles
 | Remarques |
|
Vous pouvez modifier la section par défaut de /etc/security/user pour permettre à tous les utilisateurs de synchroniser leurs mots de passe. Dans ce cas, pour limiter l’accès à la synchronisation de mot de passe, vous pouvez utiliser l’attribut SYNC_USERS dans le fichier /etc/sso.conf. Pour plus d’informations, voir Utiliser sso.conf pour configurer la synchronisation de mot de passe sur des ordinateurs basés sur UNIX. Pour désactiver la synchronisation de mot de passe d’UNIX vers Windows, supprimez l’entrée que vous avez ajoutée dans /etc/pam.conf à l’étape 6. |
Pour installer le PAM (Pluggable Authentication Module) sur HP-UX
Suivez les étapes ci-dessous pour installer le PAM sur des ordinateurs qui exécutent Hewlett-Packard HP-UX.
| Pour installer le PAM sur HP-UX |
Copiez pam_sso.hpx depuis \Unix\Bins sur le CD du produit Windows Server 2008 R2 vers /usr/lib/security sur l’ordinateur UNIX.
Changez le nom de fichier en pam_sso.hp.1, puis définissez les bits de ses droits d’accès à 544.
Remarques Les bits des droits d’accès pour pam_sso.hp.1 doivent être définis sur 544 (o:r-x,g:r--,w:r--), sinon il ne fonctionne pas correctement.
Sur l’ordinateur qui exécute HP-UX, ouvrez /etc/pam.conf à l’aide d’un éditeur de texte.
Dans la section Password management, localisez la ligne suivante :
other password required /usr/lib/security/libpam_unix.1
Tout de suite après la ligne de l’étape précédente, ajoutez cette ligne :
other password required /usr/lib/security/pam_sso.hp.1
| Remarques |
|
Pour désactiver la synchronisation de mot de passe UNIX à Windows, supprimez l’entrée dans /etc/pam.conf que vous avez ajoutée lors de l’étape 5. Avant d’installer le module pam_sso, vérifiez que la prise en charge du PAM est correctement installée et configurée sur l’ordinateur UNIX. |
Exemple de fichier de configuration PAM HP-UX
Les fichiers d’exemple suivants présentent une configuration typique. Le contenu véritable de ces fichiers peut varier en fonction de la configuration de votre système.
# # PAM configuration # # Authentication management # login auth required /usr/lib/security/libpam_unix.1 su auth required /usr/lib/security/libpam_unix.1 dtlogin auth required /usr/lib/security/libpam_unix.1 dtaction auth required /usr/lib/security/libpam_unix.1 ftp auth required /usr/lib/security/libpam_unix.1 OTHER auth required /usr/lib/security/libpam_unix.1 # # Account management # login account required /usr/lib/security/libpam_unix.1 su account required /usr/lib/security/libpam_unix.1 dtlogin account required /usr/lib/security/libpam_unix.1 dtaction account required /usr/lib/security/libpam_unix.1 ftp account required /usr/lib/security/libpam_unix.1 # OTHER account required /usr/lib/security/libpam_unix.1 # # Session management # login session required /usr/lib/security/libpam_unix.1 dtlogin session required /usr/lib/security/libpam_unix.1 dtaction session required /usr/lib/security/libpam_unix.1 OTHER session required /usr/lib/security/libpam_unix.1 # # Password management # login password required /usr/lib/security/libpam_unix.1 dtlogin password required /usr/lib/security/libpam_unix.1 dtaction password required /usr/lib/security/libpam_unix.1 other password required /usr/lib/security/libpam_unix.1 other password required /usr/lib/security/pam_sso.hp.1
Pour installer le PAM (Pluggable Authentication Module) sur Linux
Suivez les étapes ci-dessous pour installer le PAM sur des ordinateurs qui exécutent Linux.
| Pour installer le PAM sur Linux |
Copiez pam_sso.rhl depuis \Unix\Bins sur le CD du produit Windows Server 2008 R2 vers /lib/security sur l’ordinateur UNIX, puis changez son nom en pam_sso.so.1.
Sur l’ordinateur UNIX, copiez /etc/pam.d/system-auth dans /etc/pam.d/ssod.
Ouvrez /etc/pam.d/system-auth avec un éditeur de texte, puis localisez la ligne suivante :
password…..required…../lib/security/pam_cracklib.so…..retry=3
Après la ligne de l’étape précédente, ajoutez cette ligne :
password required /lib/security/pam_sso.so.1
Trouvez et supprimez la ligne suivante :
Password required /lib/security/pam_deny.so
Enregistrez le fichier modifié.
| Remarques |
|
Ces instructions s’appliquent à la configuration Linux standard. Si vous avez configuré différemment la prise en charge du PAM, vous devrez peut-être adapter ces instructions à votre configuration. Pour désactiver la synchronisation de mot de passe UNIX à Windows, supprimez l’entrée dans /etc/pam.d/system-auth que vous avez ajoutée lors de l’étape 4. Avant d’installer le module pam_sso, vérifiez que la prise en charge du PAM est correctement installée et configurée sur l’ordinateur UNIX. |
Exemple de fichier de configuration PAM Linux
Les fichiers d’exemple suivants présentent une configuration typique. Le contenu réel de ces fichiers peut varier en fonction de la configuration de votre système.
/etc/pam.d/passwd #%PAM-1.0 auth required /lib/security/pam_stack.so service=system-auth account required /lib/security/pam_stack.so service=system-auth password required /lib/security/pam_stack.so service=system-auth /etc/pam.d/ssod #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required /lib/security/pam_env.so auth sufficient /lib/security/pam_unix.so likeauth nullok auth required /lib/security/pam_deny.so account required /lib/security/pam_unix.so password required /lib/security/pam_cracklib.so retry=3 type= password sufficient /lib/security/pam_unix.so nullok use_authtok shadow password required /lib/security/pam_deny.so session required /lib/security/pam_limits.so session required /lib/security/pam_unix.so /etc/pam.d/system-auth #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required /lib/security/pam_env.so auth sufficient /lib/security/pam_unix.so likeauth nullok auth required /lib/security/pam_deny.so account required /lib/security/pam_unix.so password required /lib/security/pam_cracklib.so retry=3 type= password required /lib/security/pam_sso.so.1 password sufficient /lib/security/pam_unix.so nullok use_authtok shadow password required /lib/security/pam_deny.so session required /lib/security/pam_limits.so session required /lib/security/pam_unix.so
Pour installer le PAM (Pluggable Authentication Module) sur Solaris
Suivez les étapes ci-dessous pour installer le PAM sur des ordinateurs qui exécutent Sun Solaris.
| Pour installer le PAM sur Solaris |
Copiez pam_sso.sol depuis le dossier \Unix\Bins sur le CD du produit Windows Server 2008 R2 vers le répertoire /usr/lib/security sur l’ordinateur UNIX, puis changez son nom en pam_sso.so.1.
Sur l’ordinateur UNIX, ouvrez /etc/pam.conf avec un éditeur de texte.
Dans la section Password management, localisez la ligne suivante :
other password required /usr/lib/security/$ISA/pam_unix.so.1
Tout de suite après la ligne de l’étape 3, ajoutez cette ligne :
other password required /usr/lib/security/$ISA/pam_sso.so.1
| Remarques |
|
Pour désactiver la synchronisation de mot de passe UNIX à Windows, supprimez l’entrée dans /etc/pam.conf que vous avez ajoutée lors de l’étape 4. Avant d’installer le module pam_sso, vérifiez que la prise en charge du PAM est correctement installée et configurée sur l’ordinateur UNIX. |
Exemple de fichier de configuration PAM Solaris
Les fichiers d’exemple suivants présentent une configuration typique. Le contenu réel de ces fichiers peut varier en fonction de la configuration de votre système.
# #ident "@(#)pam.conf 1.14 99/09/16 SMI" # # Copyright (c) 1996-1999, Sun Microsystems, Inc. # All Rights Reserved. # # PAM configuration # # Authentication management # login auth required /usr/lib/security/$ISA/pam_unix.so.1 login auth required /usr/lib/security/$ISA/pam_dial_auth.so.1 # rlogin auth sufficient /usr/lib/security/$ISA/pam_rhosts_auth.so.1 rlogin auth required /usr/lib/security/$ISA/pam_unix.so.1 # dtlogin auth required /usr/lib/security/$ISA/pam_unix.so.1 # rsh auth required /usr/lib/security/$ISA/pam_rhosts_auth.so.1 other auth required /usr/lib/security/$ISA/pam_unix.so.1 # # Account management # login account requisite /usr/lib/security/$ISA/pam_roles.so.1 login account required /usr/lib/security/$ISA/pam_unix.so.1 # dtlogin account requisite /usr/lib/security/$ISA/pam_roles.so.1 dtlogin account required /usr/lib/security/$ISA/pam_unix.so.1 # other account requisite /usr/lib/security/$ISA/pam_roles.so.1 other account required /usr/lib/security/$ISA/pam_unix.so.1 # # Session management # other session required /usr/lib/security/$ISA/pam_unix.so.1 # # Password management # other password required /usr/lib/security/$ISA/pam_unix.so.1 other password required /usr/lib/security/$ISA/pam_sso.so.1 dtsession auth required /usr/lib/security/$ISA/pam_unix.so.1 # # Support for Kerberos V5 authentication (uncomment to use Kerberos) # #rlogin auth optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass #login auth optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass #dtlogin auth optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass #other auth optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass #dtlogin account optional /usr/lib/security/$ISA/pam_krb5.so.1 #other account optional /usr/lib/security/$ISA/pam_krb5.so.1 #other session optional /usr/lib/security/$ISA/pam_krb5.so.1 #other password optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass