Konfigurowanie synchronizacji haseł na komputerze z systemem UNIX za pomocą pliku sso.conf

Aby zmienić ustawienia synchronizacji haseł i dostosować jej działanie na komputerze z systemem UNIX, należy zmienić ustawienia w pliku sso.conf. Aby uzyskać informacje na temat instalowania pliku sso.conf, zobacz temat Instalowanie demona synchronizacji haseł na komputerach z systemem UNIX.

W poniższej tabeli opisano wartości, które można ustawić w pliku sso.conf.

Wartość Opis

CASE_IGNORE_NAME

Służy do określania, czy synchronizacja haseł będzie ignorować różnice małych i wielkich liter w nazwach użytkowników podczas porównywania nazw użytkowników w systemie Windows i systemie UNIX. Aby zezwolić na porównania nieuwzględniające wielkości liter, należy ustawić dla tego wpisu wartość 1 (domyślną). Aby wymusić na synchronizacji haseł używanie porównań uwzględniające wielkość liter, należy ustawić dla tego wpisu wartość 0.

ENCRYPT_KEY

Służy do określania klucza domyślnego używanego do szyfrowania haseł wymienianych z serwerami z systemem Windows. Za pomocą ustawień wpisu SYNC_HOSTS można określić inny klucz szyfrowania dla określonego serwera z systemem Windows.

FILE_PATH

Służy do określania pełnej ścieżki i nazwy pliku haseł lub pliku cienia (na przykład /etc/passwd). Ten plik musi zawierać zaszyfrowane hasła dla użytkowników, a typ pliku (plik haseł lub plik cienia) musi być zgodny z wartością wpisu USE_SHADOW. W systemach AIX ścieżka i nazwa pliku cienia to /etc/security/passwd.

IGNORE_PROPAGATION_ERRORS

Mając ustawioną wartość 1, wpis ten określa, że moduł PAM synchronizacji haseł ma ignorować wszelkie błędy występujące podczas zmian haseł systemu Windows i kontynuować synchronizację z innymi hostami określonymi we wpisie SYNC_HOSTS.

NIS_UPDATE_PATH

Służy do określania pełnej ścieżki pliku make usługi NIS. Ta wartość jest ignorowana, chyba że dla wpisu USE_NIS jest ustawiona wartość 1.

PORT_NUMBER

Służy do określania domyślnego numeru portu, na którym demon synchronizacji haseł będzie nasłuchiwać zmian haseł z serwerów z systemem Windows. Za pomocą ustawień wartości wpisu SYNC_HOSTS można określić inny numer portu dla określonego serwera z systemem Windows.

SYNC_DELAY

Służy do określania liczby sekund oczekiwania modułu PAM synchronizacji haseł między próbami synchronizacji.

SYNC_HOSTS

Służy do określania serwerów z systemem Windows lub kontrolerów domeny, z którymi mają być synchronizowane hasła. Ponadto dla określonego serwera można określić numer portu lub klucz szyfrowania (lub oba te elementy). Każdy wpis należy ująć w nawiasy. Poszczególne elementy należy oddzielić spacją. W oddzielnych wierszach może znajdować się wiele wpisów, z których żaden nie może być dłuższy niż 269 znaków. Pełna lista serwerów lub kontrolerów domeny jest generowana przez połączenie wszystkich wpisów. Na przykład:

SYNC_HOSTS=(Marketing) 
SYNC_HOSTS=(Sales,ASDFhjkl4321ZyXw) (Accounting,6678) 
SYNC_HOSTS=(Shipping,6678,ASDFhjkl4321ZyXw)

synchronizuje hasła z serwerem Marketing za pomocą domyślnego portu i klucza szyfrowania, z serwerem Sprzedaż za pomocą klucza szyfrowania ASDFhjkl4321ZyXw, z serwerem Księgowość za pomocą portu o numerze 6678 i z serwerem Spedycja za pomocą portu o numerze 6678 oraz klucza szyfrowania ASDFhjkl4321ZyXw.

Jeśli są używane ustawienia numeru portu i klucza szyfrowania specyficzne dla serwera, należy użyć tych samych wartości do skonfigurowania synchronizacji haseł na serwerze z systemem Windows. W przeciwnym wypadku hasła nie będą synchronizowane.

SYNC_RETRIES

Służy do określania liczby prób synchronizowania zmiany hasła z serwerem z systemem Windows lub z kontrolerem domeny podejmowanych przez moduł PAM synchronizacji haseł.

SYNC_USERS

Służy do określania użytkowników systemu UNIX, których hasła mają być synchronizowane. Można określić wartość ALL, aby były synchronizowane hasła wszystkich użytkowników, lub wartość NONE, aby wyłączyć synchronizację haseł użytkowników. Można też określić poszczególnych użytkowników. W przypadku określenia jednego lub większej liczby użytkowników poprzedzonych znakami plus (+) będą synchronizowane tylko hasła tych użytkowników. W przypadku określania jednego lub większej liczby użytkowników poprzedzonych znakami minus (-) będą synchronizowane hasła wszystkich użytkowników z wyjątkiem określonych użytkowników. Aby na przykład zezwolić na synchronizację haseł tylko użytkowników tomaszb i anetao, należy określić:

SYNC_USERS=+bobg +kimr

Aby uniemożliwić synchronizację haseł tylko użytkownikowi z uprawnieniami administratora i użytkownikowi tomaszb, należy określić:

SYNC_USERS=–root –bobg

Znak minus zawsze ma pierwszeństwo niezależnie do kolejności wpisów. Na przykład poniższy wpis określa, że hasło użytkownika jacekj nie będzie synchronizowane:

SYNC_USERS=+chrisa –chrisa +chrisa

TEMP_FILE_PATH

Służy do określania pełnej ścieżki katalogu, w którym ma być przechowywany plik tymczasowy podczas aktualizowania pliku haseł lub pliku cienia. Musi to być ten sam katalog, w którym znajduje się plik haseł lub plik cienia. Ze względów bezpieczeństwa tylko administrator powinien mieć dostęp do tego katalogu.

USE_NIS

Należy ustawić dla tego wpisu wartość 0, jeśli synchronizacja haseł nie synchronizuje haseł z domeną sieciowej usługi informacyjnej (NIS); należy ustawić dla tego wpisu wartość 1, jeśli synchronizacja haseł synchronizuje hasła z domeną usługi NIS. Jeśli dla wpisu USE_NIS jest ustawiona wartość 1, należy określić poprawną ścieżkę dla wpisu NIS_UPDATE_PATH.

USE_SHADOW

Należy ustawić dla tego wpisu wartość 0, jeśli do synchronizacji ma być używany plik haseł; należy ustawić dla tego wpisu wartość 1, jeśli ma być używany plik cienia.


Spis treści