Sso.conf gebruiken voor het configureren van Wachtwoordsynchronisatie computers die op UNIX zijn gebaseerd

Als u instellingen en de werking van Wachtwoordsynchronisatie op een op UNIX gebaseerde computer wilt wijzigen, wijzigt u de instellingen in het bestand sso.conf. Zie De Wachtwoordsynchronisatie-daemon installeren op computers die op UNIX zijn gebaseerd voor meer informatie over het installeren van het bestand sso.conf.

In de volgende tabel zijn de waarden beschreven die u in het bestand sso.conf kunt instellen.

Waarde Beschrijving

CASE_IGNORE_NAME

Deze waarde geeft aan dat verschillen tussen hoofdletters en kleine letters in gebruikersnamen door Wachtwoordsynchronisatie moeten worden genegeerd wanneer er Windows- en UNIX-gebruikersnamen worden vergeleken. Als u vergelijkingen wilt toestaan waarbij er onderscheid tussen hoofdletters en kleine letters wordt gemaakt, stelt u deze vermelding in op 1 (de standaardwaarde). Als wilt afdwingen dat er bij vergelijkingen een onderscheid wordt gemaakt tussen hoofdletters en kleine letters, stelt u deze vermelding in op 0.

ENCRYPT_KEY

Deze waarde wordt gebruikt voor het instellen van de standaardsleutel die moet worden gebruikt voor het versleutelen van wachtwoorden die worden uitgewisseld met Windows-servers. U kunt de instellingen bij de waarde SYNC_HOSTS gebruiken voor het instellen van een andere versleutelingssleutel die voor een specifieke Windows-server moet worden gebruikt.

FILE_PATH

Deze waarde wordt gebruikt voor het instellen van het volledige pad en de naam van het wachtwoordbestand of shadowbestand (zoals /etc/passwd). Het bestand moet de versleutelde wachtwoorden voor de gebruikers bevatten en het type bestand (passwd of shadow) moet overeenstemmen met het type dat is ingesteld met USE_SHADOW. Op AIX-systemen worden het volgende pad en de volgende naam van het shadow-bestand gebruikt: /etc/security/passwd.

IGNORE_PROPAGATION_ERRORS

Wanneer deze waarde op 1 is ingesteld, betekent dit dat de PAM-module van Wachtwoordsynchronisatie elke fout moet negeren die optreedt wanneer er een Windows-wachtwoord wordt gewijzigd en dat de synchronisatie met andere hosts die in SYNC_HOSTS zijn opgegeven, moet worden voortgezet.

NIS_UPDATE_PATH

Deze waarde wordt gebruikt voor het instellen van het volledige pad naar het make-bestand van NIS. Deze waarde wordt genegeerd, tenzij USE_NIS ingesteld op 1.

PORT_NUMBER

De waarde wordt gebruikt voor het instellen van het standaardnummer van de poort waarop de daemon van Wachtwoordsynchronisatie luistert naar wachtwoordwijzigingen die afkomstig zijn van Windows-servers. U kunt de instellingen voor de waarde SYNC_HOSTS gebruiken voor het instellen van een ander poortnummer dat voor een specifieke Windows-server moet worden gebruikt.

SYNC_DELAY

Deze waarde wordt gebruikt om het aantal seconden in te stellen dat er door de PAM-module van Wachtwoordsynchronisatie tussen synchronisatiepogingen wordt gewacht.

SYNC_HOSTS

De waarde wordt gebruikt om de Windows-servers of -domeincontrollers op te geven waarmee er wachtwoorden moeten worden gesynchroniseerd. Daarnaast kunt u een poortnummer en/of een versleutelingssleutel voor een specifieke server opgeven. Plaats elke vermelding tussen haakjes, waarbij verschillende items met een spatie van elkaar worden gescheiden. U kunt meerdere vermeldingen op aparte regels plaatsen, waarbij de afzonderlijke vermeldingen niet langer mogen zijn dan 269 tekens. De totale lijst met servers of domeincontrollers wordt gegenereerd door het aaneenkoppelen van alle vermeldingen. Bijvoorbeeld:

SYNC_HOSTS=(Marketing) 
SYNC_HOSTS=(Sales,ASDFhjkl4321ZyXw) (Accounting,6678) 
SYNC_HOSTS=(Shipping,6678,ASDFhjkl4321ZyXw)

In dit voorbeeld worden er wachtwoorden gesynchroniseerd met de Marketing-server via de standaardpoort en met behulp van de standaardversleutelingssleutel, met de Verkoop-server met behulp van de cversleutelingssleutel ASDFhjkl4321ZyXw, met de Boekhouding-server via poortnummer 6678 en met de Verzending-server via poortnummer 6678 en met behulp van de versleutelingssleutel ASDFhjkl4321ZyXw.

Als u servergebonden poortnummer- of versleutelingssleutelinstellingen wilt gebruiken, moet u dezelfde waarden gebruiken voor het instellen van Wachtwoordsynchronisatie op de Windows-server. Als u dit nalaat, worden de wachtwoorden niet gesynchroniseerd.

SYNC_RETRIES

Deze waarde wordt gebruikt om het aantal keren in te stellen dat de PAM-module van Wachtwoordsynchronisatie zal proberen om een wachtwoordwijziging te synchroniseren met een Windows-server of -domeincontroller.

SYNC_USERS

Deze waarde wordt gebruikt om UNIX-gebruikers in te stellen van wie de wachtwoorden moeten worden gesynchroniseerd. U kunt ALL gebruiken als u de wachtwoorden van alle gebruikers wilt synchroniseren of NONE als u wachtwoordsynchronisatie voor gebruikers wilt uitschakelen. U kunt tevens specifieke gebruikers opgeven. Als u een of meer gebruikers opgeeft en als u voor de desbetreffende gebruiker of gebruikers een plusteken (+) plaatst, wordt alleen bij deze gebruiker of gebruikers het wachtwoord gesynchroniseerd. Als u een of meer gebruikers opgeeft en als u voor de desbetreffende gebruiker of gebruikers een minteken (-) plaatst, wordt bij alle gebruikers het wachtwoord gesynchroniseerd, behalve bij de gebruiker of gebruikers waarvoor u het minteken hebt geplaatst. Als u bijvoorbeeld wilt instellen dat alleen de wachtwoorden van de gebruikers bobg en kimr kunnen worden gesynchroniseerd, geeft u het volgende op:

SYNC_USERS=+bobg +kimr

Als u wilt instellen dat alleen bij de gebruikers root en bobg het wachtwoord niet wordt gesynchroniseerd, geeft u het volgende op:

SYNC_USERS=–root –bobg

Het minteken krijgt altijd voorrang, ongeacht de volgorde waarin de vermeldingen worden weergegeven. In het volgende voorbeeld is ingesteld dat het wachtwoord voor de gebruiker chrisa niet wordt gesynchroniseerd:

SYNC_USERS=+chrisa –chrisa +chrisa

TEMP_FILE_PATH

Deze waarde wordt gebruikt om het volledig pad in te stellen naar de map die moet worden gebruikt voor het opslaan van een tijdelijk bestand wanneer het passwd-bestand of shadow-bestand wordt bijgewerkt. Dit moet dezelfde map zijn als de map waarin het passwd-bestand of het shadow-bestand zich bevindt. Het is om beveiligingsredenen wenselijk dat alleen beheerders toegang tot deze map hebben.

USE_NIS

Stel deze waarde in op 0 als Wachtwoordsynchronisatie niet wordt gesynchroniseerd met een NIS-domein (Network Information Service), stel deze waarde in op 1 als Wachtwoordsynchronisatie wel wordt gesynchroniseerd met een NIS-domein. Als USE_NIS wordt ingesteld op 1, moet er voor NIS_UPDATE_PATH een geldig pad worden opgegeven.

USE_SHADOW

Stel deze waarde in op 0 als het passwd-bestand voor de synchronisatie moet worden gebruikt, stel deze waarde in op 1 als het shadow-bestand moet worden gebruikt.