La section contient des instructions sur l’installation du module PAM (Pluggable Authentication Module) sur les ordinateurs exécutant n’importe laquelle des quatre familles de système d’exploitation UNIX suivantes :

Pour installer le PAM (Pluggable Authentication Module) sur AIX

Suivez les étapes ci-dessous pour installer le PAM sur des ordinateurs qui exécutent IBM AIX.

Pour installer le PAM sur AIX
  1. Copiez le fichier pam_sso.aix depuis \Unix\Bins sur le CD du produit Windows Server® 2008 R2 vers /usr/lib/ sur l’ordinateur exécutant IBM AIX.

  2. Modifiez le nom de fichier par pam_sso.aix.1.

  3. Sur l’ordinateur exécutant AIX, connectez-vous comme utilisateur root, puis exécutez la commande suivante :

    chown root /usr/lib/pam_sso.aix.1 chmod 555 /usr/lib/pam_sso.aix.1

  4. Si nécessaire, créez le fichier /etc/pam.conf en fonction des besoins de votre réseau, en choisissant l’utilisateur racine comme propriétaire et en définissant les autorisations de base à 644. Pour plus d’informations sur la création du fichier pam.conf, voir « Pluggable Authentication Modules » (éventuellement en anglais) dans le System Management Guides: Security Guide de votre documentation AIX.

    Ci-dessous figure un exemple du fichier pam.conf

     

    #
    # Authentication management
    #
    OTHER   auth     required       /usr/lib/security/pam_aix
    
    #
    # Account management
    #
    OTHER   account  required       /usr/lib/security/pam_aix
    
    #
    # Session management
    #
    OTHER   session  required       /usr/lib/security/pam_aix
    
  5. Ouvrez /etc/pam.conf avec un éditeur de texte.

  6. Dans la section Password management, ajoutez la ligne suivante :

    passwd password required /usr/lib/security/pam_sso.aix.1

    Ci-dessous figure un exemple du fichier pam.conf avec cette ligne ajoutée.

     

    #
    # Authentication management
    #
    OTHER   auth     required       /usr/lib/security/pam_aix
    
    #
    # Account management
    #
    OTHER   account  required       /usr/lib/security/pam_aix
    
    #
    # Session management
    #
    OTHER   session  required       /usr/lib/security/pam_aix
    
    #
    # Password management
    #
    passwd   password required       /usr/lib/security/pam_sso.aix.1
  7. Ouvrez /usr/lib/security/methods.cfg avec un éditeur de texte et ajoutez les lignes suivantes à la fin du fichier :

    PAM:    program = /usr/lib/security/PAM

    PAMfiles:    options = auth=PAM,db=BUILTIN

  8. Ouvrez /etc/security/user avec un éditeur de texte et ajoutez des informations d’authentification pour les utilisateurs dont vous souhaitez synchroniser les mots de passe. Par exemple :

    user1:    admin = false    SYSTEM = PAMfiles[*] AND "compat"    registry = PAMfiles
Remarques

Vous pouvez modifier la section par défaut de /etc/security/user pour permettre à tous les utilisateurs de synchroniser leurs mots de passe. Dans ce cas, pour limiter l’accès à la synchronisation de mot de passe, vous pouvez utiliser l’attribut SYNC_USERS dans le fichier /etc/sso.conf. Pour plus d’informations, voir Utiliser sso.conf pour configurer la synchronisation de mot de passe sur des ordinateurs basés sur UNIX. Pour désactiver la synchronisation de mot de passe d’UNIX vers Windows, supprimez l’entrée que vous avez ajoutée dans /etc/pam.conf à l’étape 6.

Pour installer le PAM (Pluggable Authentication Module) sur HP-UX

Suivez les étapes ci-dessous pour installer le PAM sur des ordinateurs qui exécutent Hewlett-Packard HP-UX.

Pour installer le PAM sur HP-UX
  1. Copiez pam_sso.hpx depuis \Unix\Bins sur le CD du produit Windows Server 2008 R2 vers /usr/lib/security sur l’ordinateur UNIX.

  2. Changez le nom de fichier en pam_sso.hp.1, puis définissez les bits de ses droits d’accès à 544.

    Remarques

    Les bits des droits d’accès pour pam_sso.hp.1 doivent être définis sur 544 (o:r-x,g:r--,w:r--), sinon il ne fonctionne pas correctement.

  3. Sur l’ordinateur qui exécute HP-UX, ouvrez /etc/pam.conf à l’aide d’un éditeur de texte.

  4. Dans la section Password management, localisez la ligne suivante :

    other    password required      /usr/lib/security/libpam_unix.1
  5. Tout de suite après la ligne de l’étape précédente, ajoutez cette ligne :

    other password required /usr/lib/security/pam_sso.hp.1

Remarques

Pour désactiver la synchronisation de mot de passe UNIX à Windows, supprimez l’entrée dans /etc/pam.conf que vous avez ajoutée lors de l’étape 5. Avant d’installer le module pam_sso, vérifiez que la prise en charge du PAM est correctement installée et configurée sur l’ordinateur UNIX.

Exemple de fichier de configuration PAM HP-UX

Les fichiers d’exemple suivants présentent une configuration typique. Le contenu véritable de ces fichiers peut varier en fonction de la configuration de votre système.

#
# PAM configuration
#
# Authentication management
#
login    auth required  /usr/lib/security/libpam_unix.1
su       auth required  /usr/lib/security/libpam_unix.1
dtlogin  auth required  /usr/lib/security/libpam_unix.1
dtaction auth required  /usr/lib/security/libpam_unix.1
ftp      auth required  /usr/lib/security/libpam_unix.1
OTHER    auth required  /usr/lib/security/libpam_unix.1
#
# Account management
#
login    account required       /usr/lib/security/libpam_unix.1
su       account required       /usr/lib/security/libpam_unix.1
dtlogin  account required       /usr/lib/security/libpam_unix.1
dtaction account required       /usr/lib/security/libpam_unix.1
ftp      account required       /usr/lib/security/libpam_unix.1
#
OTHER    account required       /usr/lib/security/libpam_unix.1
#
# Session management
#
login    session required       /usr/lib/security/libpam_unix.1
dtlogin  session required       /usr/lib/security/libpam_unix.1
dtaction session required       /usr/lib/security/libpam_unix.1
OTHER    session required       /usr/lib/security/libpam_unix.1
#
# Password management
#
login    password required      /usr/lib/security/libpam_unix.1
dtlogin  password required      /usr/lib/security/libpam_unix.1
dtaction password required      /usr/lib/security/libpam_unix.1
other    password required      /usr/lib/security/libpam_unix.1
other    password required      /usr/lib/security/pam_sso.hp.1

Pour installer le PAM (Pluggable Authentication Module) sur Linux

Suivez les étapes ci-dessous pour installer le PAM sur des ordinateurs qui exécutent Linux.

Pour installer le PAM sur Linux
  1. Copiez pam_sso.rhl depuis \Unix\Bins sur le CD du produit Windows Server 2008 R2 vers /lib/security sur l’ordinateur UNIX, puis changez son nom en pam_sso.so.1.

  2. Sur l’ordinateur UNIX, copiez /etc/pam.d/system-auth dans /etc/pam.d/ssod.

  3. Ouvrez /etc/pam.d/system-auth avec un éditeur de texte, puis localisez la ligne suivante :

    password…..required…../lib/security/pam_cracklib.so…..retry=3
  4. Après la ligne de l’étape précédente, ajoutez cette ligne :

    password required /lib/security/pam_sso.so.1

  5. Trouvez et supprimez la ligne suivante :

    Password    required    /lib/security/pam_deny.so
  6. Enregistrez le fichier modifié.

Remarques

Ces instructions s’appliquent à la configuration Linux standard. Si vous avez configuré différemment la prise en charge du PAM, vous devrez peut-être adapter ces instructions à votre configuration. Pour désactiver la synchronisation de mot de passe UNIX à Windows, supprimez l’entrée dans /etc/pam.d/system-auth que vous avez ajoutée lors de l’étape 4. Avant d’installer le module pam_sso, vérifiez que la prise en charge du PAM est correctement installée et configurée sur l’ordinateur UNIX.

Exemple de fichier de configuration PAM Linux

Les fichiers d’exemple suivants présentent une configuration typique. Le contenu réel de ces fichiers peut varier en fonction de la configuration de votre système.

/etc/pam.d/passwd

#%PAM-1.0
auth       required     /lib/security/pam_stack.so service=system-auth
account    required     /lib/security/pam_stack.so service=system-auth
password   required     /lib/security/pam_stack.so service=system-auth


/etc/pam.d/ssod

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      /lib/security/pam_env.so
auth        sufficient    /lib/security/pam_unix.so likeauth nullok
auth        required      /lib/security/pam_deny.so

account     required      /lib/security/pam_unix.so

password    required      /lib/security/pam_cracklib.so retry=3 type=
password    sufficient    /lib/security/pam_unix.so nullok use_authtok shadow
password    required      /lib/security/pam_deny.so

session     required      /lib/security/pam_limits.so
session     required      /lib/security/pam_unix.so


/etc/pam.d/system-auth

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      /lib/security/pam_env.so
auth        sufficient    /lib/security/pam_unix.so likeauth nullok
auth        required      /lib/security/pam_deny.so

account     required      /lib/security/pam_unix.so

password    required      /lib/security/pam_cracklib.so retry=3 type=
password    required      /lib/security/pam_sso.so.1
password    sufficient    /lib/security/pam_unix.so nullok use_authtok shadow
password    required      /lib/security/pam_deny.so

session     required      /lib/security/pam_limits.so
session     required      /lib/security/pam_unix.so

Pour installer le PAM (Pluggable Authentication Module) sur Solaris

Suivez les étapes ci-dessous pour installer le PAM sur des ordinateurs qui exécutent Sun Solaris.

Pour installer le PAM sur Solaris
  1. Copiez pam_sso.sol depuis le dossier \Unix\Bins sur le CD du produit Windows Server 2008 R2 vers le répertoire /usr/lib/security sur l’ordinateur UNIX, puis changez son nom en pam_sso.so.1.

  2. Sur l’ordinateur UNIX, ouvrez /etc/pam.conf avec un éditeur de texte.

  3. Dans la section Password management, localisez la ligne suivante :

    other password required /usr/lib/security/$ISA/pam_unix.so.1
  4. Tout de suite après la ligne de l’étape 3, ajoutez cette ligne :

    other password required /usr/lib/security/$ISA/pam_sso.so.1

Remarques

Pour désactiver la synchronisation de mot de passe UNIX à Windows, supprimez l’entrée dans /etc/pam.conf que vous avez ajoutée lors de l’étape 4. Avant d’installer le module pam_sso, vérifiez que la prise en charge du PAM est correctement installée et configurée sur l’ordinateur UNIX.

Exemple de fichier de configuration PAM Solaris

Les fichiers d’exemple suivants présentent une configuration typique. Le contenu réel de ces fichiers peut varier en fonction de la configuration de votre système.

#
#ident  "@(#)pam.conf   1.14    99/09/16 SMI"
#
# Copyright (c) 1996-1999, Sun Microsystems, Inc.
# All Rights Reserved.
#
# PAM configuration
#
# Authentication management
#
login   auth required   /usr/lib/security/$ISA/pam_unix.so.1
login   auth required   /usr/lib/security/$ISA/pam_dial_auth.so.1
#
rlogin  auth sufficient /usr/lib/security/$ISA/pam_rhosts_auth.so.1
rlogin  auth required   /usr/lib/security/$ISA/pam_unix.so.1
#
dtlogin auth required   /usr/lib/security/$ISA/pam_unix.so.1
#
rsh     auth required   /usr/lib/security/$ISA/pam_rhosts_auth.so.1
other   auth required   /usr/lib/security/$ISA/pam_unix.so.1
#
# Account management
#
login   account requisite       /usr/lib/security/$ISA/pam_roles.so.1
login   account required        /usr/lib/security/$ISA/pam_unix.so.1
#
dtlogin account requisite       /usr/lib/security/$ISA/pam_roles.so.1
dtlogin account required        /usr/lib/security/$ISA/pam_unix.so.1
#
other   account requisite       /usr/lib/security/$ISA/pam_roles.so.1
other   account required        /usr/lib/security/$ISA/pam_unix.so.1
#
# Session management
#
other   session required        /usr/lib/security/$ISA/pam_unix.so.1
#
# Password management
#

other   password required       /usr/lib/security/$ISA/pam_unix.so.1
other  password required        /usr/lib/security/$ISA/pam_sso.so.1
dtsession auth required /usr/lib/security/$ISA/pam_unix.so.1

#
# Support for Kerberos V5 authentication (uncomment to use Kerberos)
#
#rlogin auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#login  auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#dtlogin        auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#other  auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#dtlogin        account optional /usr/lib/security/$ISA/pam_krb5.so.1
#other  account optional /usr/lib/security/$ISA/pam_krb5.so.1
#other  session optional /usr/lib/security/$ISA/pam_krb5.so.1
#other  password optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass