sso.conf を使って UNIX ベースのコンピューター上でパスワード同期を構成する

UNIX ベースのコンピューター上でのパスワード同期の動作をカスタマイズするには、sso.conf ファイルの設定を変更します。sso.conf ファイルのインストールについては、「パスワード同期デーモンを UNIX ベースのコンピューターにインストールする」を参照してください。

次の表では、sso.conf ファイルで設定できる値について説明します。

説明

CASE_IGNORE_NAME

パスワード同期が、Windows と UNIX のユーザー名を比較する際に、ユーザー名の大文字と小文字の違いを無視するかどうかを指定します。大文字と小文字を区別しない比較を使用可能にするには、このエントリに 1 を設定します (既定)。大文字と小文字を区別した比較をパスワード同期に使用させるには、このエントリに 0 を設定します。

ENCRYPT_KEY

Windows サーバーとパスワードを交換する際にパスワードの暗号化に使用する既定のキーを指定します。SYNC_HOSTS 値の設定を使用して、特定の Windows サーバーに対して異なる暗号化キーを指定できます。

FILE_PATH

passwd または shadow ファイルの完全パスおよび名前 (/etc/passwd など) を指定します。このファイルにはユーザーに対する暗号化されたパスワードが含まれている必要があり、さらにファイルの種類 (passwd または shadow) が USE_SHADOW による指定と同じであることが必要です。AIX システムの場合、shadow ファイルのパスと名前は /etc/security/passwd です。

IGNORE_PROPAGATION_ERRORS

1 に設定すると、パスワード同期 PAM モジュールに対し、Windows パスワードの変更中に発生したエラーを無視し、SYNC_HOSTS で指定されたその他のホストとの同期を続けるように指定することになります。

NIS_UPDATE_PATH

NIS makefile への完全パスを指定します。USE_NIS が 1 に設定されていない限り、この値は無視されます。

PORT_NUMBER

パスワード同期デーモンが、パスワードの変更を Windows サーバーからリッスンする際の既定のポート番号を指定します。SYNC_HOSTS 値の設定を使用して、特定の Windows サーバーに対して異なるポート番号を指定できます。

SYNC_DELAY

次の同期の試行までにパスワード同期 PAM が待機する時間を、秒数で指定します。

SYNC_HOSTS

パスワードを同期する Windows サーバーまたはドメイン コントローラーを指定します。さらに特定のサーバーに対して、ポート番号または暗号化キー (またはその両方) を指定できます。各エントリをかっこで囲み、項目をブランクで区切ります。個別の行に複数のエントリを記述できますが、各行は 269 文字を超えることはできません。エントリをすべて連結することにより、サーバーまたはドメイン全部の一覧が生成されます。たとえば、次の状況に適しています。

SYNC_HOSTS=(Marketing) 
SYNC_HOSTS=(Sales,ASDFhjkl4321ZyXw) (Accounting,6678) 
SYNC_HOSTS=(Shipping,6678,ASDFhjkl4321ZyXw)

Marketing サーバーとのパスワード同期には既定のポートと暗号化キーが使用され、Sales サーバーとの同期には暗号化キー ASDFhjkl4321ZyXw が使用され、Accounting サーバーとの同期にはポート番号 6678 が使用され、Shipping サーバーとの同期にはポート番号 6678 および暗号化キー ASDFhjkl4321ZyXw が使用されます。

サーバー固有のポート番号または暗号化キーの設定を使用する場合、同じ値を使用して Windows サーバーのパスワード同期を構成する必要があり、そうしないとパスワードが同期されません。

SYNC_RETRIES

パスワード同期 PAM モジュールが、Windows サーバーまたはドメイン コントローラーとのパスワード変更の同期を試行する回数を指定します。

SYNC_USERS

パスワードが同期される UNIX ユーザーを指定します。ALL を指定してユーザーすべてに対してパスワードを同期させるか、または NONE を指定してユーザーに対するパスワード同期を使用不可にすることができます。さらに、特定のユーザーを指定することもできます。1 人以上のユーザーの前にプラス記号 (+) を付けて指定すると、それらのユーザーのみがパスワード同期の対象になります。1 人以上のユーザーの前にマイナス記号 (-) を付けて指定すると、指定されたユーザーを除く全ユーザーがパスワード同期の対象になります。たとえば、bobg および kimr というユーザーだけがパスワードを同期できるようにするには、次のように指定します。

SYNC_USERS=+bobg +kimr

root および bobg のみをパスワード同期から除外するには、次のように指定します。

SYNC_USERS=-root -bobg

エントリが記載される順番にかかわらず、マイナス記号は常に優先されます。たとえば、次のように指定すると、ユーザー chrisa のパスワードは同期されません。

SYNC_USERS=+chrisa -chrisa +chrisa

TEMP_FILE_PATH

passwd または shadow ファイルの更新中に、一時ファイルの保持に使用されるディレクトリの完全パスを指定します。これは、passwd または shadow ファイルが置かれたディレクトリと同じにします。セキュリティ上の理由により、管理者のみがこのディレクトリに対するアクセス権を持ちます。

USE_NIS

パスワード同期が NIS (ネットワーク情報サービス) ドメインと同期していない場合は 0 を設定し、パスワード同期が NIS ドメインと同期している場合は 1 を設定します。USE_NIS に 1 を設定する場合、NIS_UPDATE_PATH に対する有効なパスを指定します。

USE_SHADOW

passwd ファイルを同期に使用する場合は 0 を設定し、shadow ファイルを使用する場合は 1 を設定します。