ここでは、次に示す 4 つの UNIX ベース オペレーティング システム ファミリのいずれかを実行しているコンピューターに、ホット プラグ可能な認証モジュール (PAM) をインストールする手順について説明します。

ホット プラグ可能な認証モジュール (PAM) を AIX にインストールするには

IBM AIX が動作するコンピューターに PAM をインストールするには、以下の手順を実行します。

AIX 上に PAM をインストールするには
  1. Windows Server® 2008 R2 の製品ディスクの \Unix\Bins から IBM AIX が動作するコンピューター上の /usr/lib/ に、ファイル pam_sso.aix をコピーします。

  2. ファイル名を pam_sso.aix.1 に変更します。

  3. AIX が動作するコンピューターに root としてログオンし、次のコマンドを実行します。

    chown root /usr/lib/pam_sso.aix.1 chmod 555 /usr/lib/pam_sso.aix.1

  4. 必要な場合は、ネットワークの要件に応じて /etc/pam.conf ファイルを作成し、所有者を root に、基本アクセス許可を 644 に設定します。pam.conf ファイルの作成の詳細については、AIX マニュアルの『System Management Guides: Security Guide』の「プラグ可能認証モジュール」を参照してください。

    pam.conf ファイルの例を次に示します。

     

    #
    # Authentication management
    #
    OTHER   auth     required       /usr/lib/security/pam_aix
    
    #
    # Account management
    #
    OTHER   account  required       /usr/lib/security/pam_aix
    
    #
    # Session management
    #
    OTHER   session  required       /usr/lib/security/pam_aix
    
  5. テキスト エディターで /etc/pam.conf を開きます。

  6. Password management セクションに、次の行を追加します。

    passwd password required /usr/lib/security/pam_sso.aix.1

    この行を追加した pam.conf ファイルの例を次に示します。

     

    #
    # Authentication management
    #
    OTHER   auth     required       /usr/lib/security/pam_aix
    
    #
    # Account management
    #
    OTHER   account  required       /usr/lib/security/pam_aix
    
    #
    # Session management
    #
    OTHER   session  required       /usr/lib/security/pam_aix
    
    #
    # Password management
    #
    passwd   password required       /usr/lib/security/pam_sso.aix.1
  7. テキスト エディターで /usr/lib/security/methods.cfg を開き、ファイルの末尾に次の行を追加します。

    PAM:    program = /usr/lib/security/PAM

    PAMfiles:    options = auth=PAM,db=BUILTIN

  8. テキスト エディターで /etc/security/user を開き、パスワードを同期するユーザーの認証情報を追加します。たとえば、次のようにします。

    user1:    admin = false    SYSTEM = PAMfiles[*] AND "compat"    registry = PAMfiles

すべてのユーザーが各自のパスワードを同期できるように /etc/security/user の既定のセクションを変更することもできます。その場合は、/etc/sso.conf ファイルの SYNC_USERS 属性を使用して、パスワード同期へのアクセスを制限できます。詳細については、「sso.conf を使って UNIX ベースのコンピューター上でパスワード同期を構成する」を参照してください。UNIX から Windows へのパスワード同期を無効にするには、手順 6 で追加した /etc/pam.conf のエントリを削除します。

ホット プラグ可能な認証モジュール (PAM) を HP-UX にインストールするには

Hewlett-Packard HP-UX が動作するコンピューターに PAM をインストールするには、以下の手順を実行します。

HP-UX 上に PAM をインストールするには
  1. Windows Server 2008 R2 の製品ディスクの \Unix\Bins から UNIX コンピューター上の /usr/lib/security に pam_sso.hpx をコピーします。

  2. ファイル名を pam_sso.hp.1 に変更し、ファイル モード ビットを 544 に変更します。

    pam_sso.hp.1 のファイル モード ビットは、544 (o:r-x、g:r--、w:r--) に設定する必要があります。そうしないと、正常に機能しません。

  3. HP-UX が動作するコンピューターで、テキスト エディターで /etc/pam.conf を開きます。

  4. Password management セクションで、次の行を探します。

    other    password required      /usr/lib/security/libpam_unix.1
  5. 上記の行の直後に、次の行を追加します。

    other password required /usr/lib/security/pam_sso.hp.1

UNIX から Windows へのパスワード同期を無効にするには、手順 5 で追加した /etc/pam.conf のエントリを削除します。pam_sso モジュールをインストールする前に、UNIX コンピューター上で PAM サポートが適切にインストールされ、構成されていることを確認してください。

HP-UX PAM 構成ファイルのサンプル

次のサンプル ファイルは、一般的な構成を示しています。これらのファイルの実際の内容は、システムの構成によって異なる場合があります。

#
# PAM configuration
#
# Authentication management
#
login    auth required  /usr/lib/security/libpam_unix.1
su       auth required  /usr/lib/security/libpam_unix.1
dtlogin  auth required  /usr/lib/security/libpam_unix.1
dtaction auth required  /usr/lib/security/libpam_unix.1
ftp      auth required  /usr/lib/security/libpam_unix.1
OTHER    auth required  /usr/lib/security/libpam_unix.1
#
# Account management
#
login    account required       /usr/lib/security/libpam_unix.1
su       account required       /usr/lib/security/libpam_unix.1
dtlogin  account required       /usr/lib/security/libpam_unix.1
dtaction account required       /usr/lib/security/libpam_unix.1
ftp      account required       /usr/lib/security/libpam_unix.1
#
OTHER    account required       /usr/lib/security/libpam_unix.1
#
# Session management
#
login    session required       /usr/lib/security/libpam_unix.1
dtlogin  session required       /usr/lib/security/libpam_unix.1
dtaction session required       /usr/lib/security/libpam_unix.1
OTHER    session required       /usr/lib/security/libpam_unix.1
#
# Password management
#
login    password required      /usr/lib/security/libpam_unix.1
dtlogin  password required      /usr/lib/security/libpam_unix.1
dtaction password required      /usr/lib/security/libpam_unix.1
other    password required      /usr/lib/security/libpam_unix.1
other    password required      /usr/lib/security/pam_sso.hp.1

ホット プラグ可能な認証モジュール (PAM) を Linux にインストールするには

Linux が動作するコンピューターに PAM をインストールするには、以下の手順を実行します。

Linux 上に PAM をインストールするには
  1. Windows Server 2008 R2 の製品ディスクの \Unix\Bins から UNIX コンピューター上の /lib/security に pam_sso.rhl を コピーし、名前を pam_sso.so.1 に変更します。

  2. UNIX コンピューターで、/etc/pam.d/system-auth を /etc/pam.d/ssod にコピーします。

  3. テキスト エディターで /etc/pam.d/system-auth を開き、次の行を探します。

    password…..required…../lib/security/pam_cracklib.so…..retry=3
  4. 上記の行の後に、次の行を追加します。

    password required /lib/security/pam_sso.so.1

  5. 次の行を探して削除します。

    Password    required    /lib/security/pam_deny.so
  6. 変更したファイルを保存します。

この手順は、一般的な Linux の構成に適用されます。PAM サポートをこれとは異なるように構成した場合、これらの手順をその固有の構成に合わせることが必要な場合もあります。UNIX から Windows へのパスワード同期を無効にするには、手順 4 で追加した /etc/pam.d/system-auth のエントリを削除します。pam_sso モジュールをインストールする前に、UNIX コンピューター上で PAM サポートが適切にインストールされ、構成されていることを確認してください。

Linux PAM 構成ファイルのサンプル

次のサンプル ファイルは、一般的な構成を示しています。これらのファイルの実際の内容は、システムの構成によって異なる場合があります。

/etc/pam.d/passwd

#%PAM-1.0
auth       required     /lib/security/pam_stack.so service=system-auth
account    required     /lib/security/pam_stack.so service=system-auth
password   required     /lib/security/pam_stack.so service=system-auth


/etc/pam.d/ssod

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      /lib/security/pam_env.so
auth        sufficient    /lib/security/pam_unix.so likeauth nullok
auth        required      /lib/security/pam_deny.so

account     required      /lib/security/pam_unix.so

password    required      /lib/security/pam_cracklib.so retry=3 type=
password    sufficient    /lib/security/pam_unix.so nullok use_authtok shadow
password    required      /lib/security/pam_deny.so

session     required      /lib/security/pam_limits.so
session     required      /lib/security/pam_unix.so


/etc/pam.d/system-auth

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      /lib/security/pam_env.so
auth        sufficient    /lib/security/pam_unix.so likeauth nullok
auth        required      /lib/security/pam_deny.so

account     required      /lib/security/pam_unix.so

password    required      /lib/security/pam_cracklib.so retry=3 type=
password    required      /lib/security/pam_sso.so.1
password    sufficient    /lib/security/pam_unix.so nullok use_authtok shadow
password    required      /lib/security/pam_deny.so

session     required      /lib/security/pam_limits.so
session     required      /lib/security/pam_unix.so

ホット プラグ可能な認証モジュール (PAM) を Solaris にインストールするには

Sun Solaris が動作するコンピューターに PAM をインストールするには、以下の手順を実行します。

Solaris 上に PAM をインストールするには
  1. Windows Server 2008 R2 の製品ディスクの \Unix\Bins フォルダーから UNIX コンピューター上の /usr/lib/security に pam_sso.sol をコピーし、名前を pam_sso.so.1 に変更します。

  2. UNIX コンピューターで、テキスト エディターを使用して /etc/pam.conf を開きます。

  3. Password management セクションで、次の行を探します。

    other password required /usr/lib/security/$ISA/pam_unix.so.1
  4. 手順 3 で見つけた行の直後に、次の行を追加します。

    other password required /usr/lib/security/$ISA/pam_sso.so.1

UNIX から Windows へのパスワード同期を無効にするには、手順 4 で追加した /etc/pam.conf のエントリを削除します。pam_sso モジュールをインストールする前に、UNIX コンピューター上で PAM サポートが適切にインストールされ、構成されていることを確認してください。

Solaris PAM 構成ファイルのサンプル

次のサンプル ファイルは、一般的な構成を示しています。これらのファイルの実際の内容は、システムの構成によって異なる場合があります。

#
#ident  "@(#)pam.conf   1.14    99/09/16 SMI"
#
# Copyright (c) 1996-1999, Sun Microsystems, Inc.
# All Rights Reserved.
#
# PAM configuration
#
# Authentication management
#
login   auth required   /usr/lib/security/$ISA/pam_unix.so.1
login   auth required   /usr/lib/security/$ISA/pam_dial_auth.so.1
#
rlogin  auth sufficient /usr/lib/security/$ISA/pam_rhosts_auth.so.1
rlogin  auth required   /usr/lib/security/$ISA/pam_unix.so.1
#
dtlogin auth required   /usr/lib/security/$ISA/pam_unix.so.1
#
rsh     auth required   /usr/lib/security/$ISA/pam_rhosts_auth.so.1
other   auth required   /usr/lib/security/$ISA/pam_unix.so.1
#
# Account management
#
login   account requisite       /usr/lib/security/$ISA/pam_roles.so.1
login   account required        /usr/lib/security/$ISA/pam_unix.so.1
#
dtlogin account requisite       /usr/lib/security/$ISA/pam_roles.so.1
dtlogin account required        /usr/lib/security/$ISA/pam_unix.so.1
#
other   account requisite       /usr/lib/security/$ISA/pam_roles.so.1
other   account required        /usr/lib/security/$ISA/pam_unix.so.1
#
# Session management
#
other   session required        /usr/lib/security/$ISA/pam_unix.so.1
#
# Password management
#

other   password required       /usr/lib/security/$ISA/pam_unix.so.1
other  password required        /usr/lib/security/$ISA/pam_sso.so.1
dtsession auth required /usr/lib/security/$ISA/pam_unix.so.1

#
# Support for Kerberos V5 authentication (uncomment to use Kerberos)
#
#rlogin auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#login  auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#dtlogin        auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#other  auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#dtlogin        account optional /usr/lib/security/$ISA/pam_krb5.so.1
#other  account optional /usr/lib/security/$ISA/pam_krb5.so.1
#other  session optional /usr/lib/security/$ISA/pam_krb5.so.1
#other  password optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass