Ta sekcja zawiera instrukcje instalowania podłączanego modułu uwierzytelniania (PAM) na komputerach z dowolnym systemem operacyjnym należącym do czterech poniższych rodzin systemów operacyjnych opartych na systemie UNIX:

Aby zainstalować podłączany moduł uwierzytelniania (PAM) w systemie AIX

Wykonaj poniższe kroki, aby zainstalować moduł PAM na komputerach z systemem IBM AIX.

Aby zainstalować moduł PAM w systemie AIX
  1. Skopiuj plik pam_sso.aix z katalogu \Unix\Bins na dysku z produktem Windows Server® 2008 R2 do katalogu /usr/lib/ na komputerze z uruchomionym systemem IBM AIX.

  2. Zmień nazwę pliku na pam_sso.aix.1.

  3. Zaloguj się do komputera z systemem AIX jako root, a następnie wykonaj poniższe polecenie:

    chown root /usr/lib/pam_sso.aix.1 chmod 555 /usr/lib/pam_sso.aix.1

  4. W razie potrzeby utwórz plik /etc/pam.conf zgodnie z wymaganiami używanej sieci, ustawiając jako właściciela administratora oraz ustawiając dla uprawnień podstawowych wartość 644. Aby uzyskać więcej informacji na temat tworzenia pliku pam.conf, zobacz „Podłączane moduły uwierzytelniania” w dokumencie System Management Guides: Security Guide w dokumentacji systemu AIX.

    Poniżej przedstawiono przykładowy plik pam.conf.

     

    #
    # Authentication management
    #
    OTHER   auth     required       /usr/lib/security/pam_aix
    
    #
    # Account management
    #
    OTHER   account  required       /usr/lib/security/pam_aix
    
    #
    # Session management
    #
    OTHER   session  required       /usr/lib/security/pam_aix
    
  5. Otwórz plik /etc/pam.conf za pomocą edytora tekstów.

  6. W sekcji Password management dodaj poniższy wiersz:

    passwd password required /usr/lib/security/pam_sso.aix.1

    Poniżej przedstawiono przykładowy plik pam.conf po dodaniu tego wiersza.

     

    #
    # Authentication management
    #
    OTHER   auth     required       /usr/lib/security/pam_aix
    
    #
    # Account management
    #
    OTHER   account  required       /usr/lib/security/pam_aix
    
    #
    # Session management
    #
    OTHER   session  required       /usr/lib/security/pam_aix
    
    #
    # Password management
    #
    passwd   password required       /usr/lib/security/pam_sso.aix.1
  7. Otwórz plik /usr/lib/security/methods.cfg za pomocą edytora tekstów i dodaj na końcu tego pliku poniższe wiersze:

    PAM:    program = /usr/lib/security/PAM

    PAMfiles:    options = auth=PAM,db=BUILTIN

  8. Otwórz plik /etc/security/user za pomocą edytora tekstów i dodaj informacje o uwierzytelnianiu dla określonych użytkowników, których hasła chcesz synchronizować. Na przykład:

    user1:    admin = false    SYSTEM = PAMfiles[*] AND "compat"    registry = PAMfiles
Uwaga

Można zdecydować się na zmianę sekcji domyślnej pliku /etc/security/user w celu zezwolenia wszystkim użytkownikom na synchronizowanie haseł. W tym przypadku, aby ograniczyć dostęp do synchronizacji haseł, w pliku /etc/sso.conf można użyć atrybutu SYNC_USERS. Aby uzyskać więcej informacji, zobacz temat Konfigurowanie synchronizacji haseł na komputerach z systemem UNIX za pomocą pliku sso.conf. Aby wyłączyć synchronizację haseł z systemu UNIX do systemu Windows, należy usunąć wpis w pliku /etc/pam.conf dodany w kroku 6.

Aby zainstalować podłączany moduł uwierzytelniania (PAM) w systemie HP-UX

Wykonaj poniższe kroki, aby zainstalować moduł PAM na komputerach z systemem Hewlett-Packard HP-UX.

Aby zainstalować moduł PAM w systemie HP-UX
  1. Skopiuj plik pam_sso.hpx z katalogu \Unix\Bins na dysku z produktem Windows Server 2008 R2 do katalogu /usr/lib/security na komputerze z systemem UNIX.

  2. Zmień nazwę pliku na pam_sso.hp.1, a następnie ustaw dla jego bitów trybu pliku wartość 544.

    Uwaga

    Dla bitów trybu pliku pliku pam_sso.hp.1 musi być ustawiona wartość 544 (o:r-x,g:r--,w:r--). W przeciwnym wypadku plik nie będzie działać prawidłowo.

  3. Na komputerze z systemem HP-UX otwórz plik /etc/pam.conf za pomocą edytora tekstów.

  4. W sekcji Password management odszukaj poniższy wiersz:

    other    password required      /usr/lib/security/libpam_unix.1
  5. Zaraz po wierszu znalezionym w poprzednim kroku dodaj poniższy wiersz:

    other password required /usr/lib/security/pam_sso.hp.1

Uwaga

Aby wyłączyć synchronizację haseł z systemu UNIX do systemu Windows, należy usunąć wpis w pliku /etc/pam.conf dodany w kroku 5. Przed zainstalowaniem modułu pam_sso należy się upewnić, że na komputerze z systemem UNIX jest prawidłowo zainstalowana i skonfigurowana obsługa modułu PAM.

Przykładowy plik konfiguracyjny modułu PAM systemu HP-UX

W poniższych plikach przykładowych pokazano typową konfigurację. Rzeczywista zawartość tych plików może być różna w zależności od konfiguracji systemu.

#
# PAM configuration
#
# Authentication management
#
login    auth required  /usr/lib/security/libpam_unix.1
su       auth required  /usr/lib/security/libpam_unix.1
dtlogin  auth required  /usr/lib/security/libpam_unix.1
dtaction auth required  /usr/lib/security/libpam_unix.1
ftp      auth required  /usr/lib/security/libpam_unix.1
OTHER    auth required  /usr/lib/security/libpam_unix.1
#
# Account management
#
login    account required       /usr/lib/security/libpam_unix.1
su       account required       /usr/lib/security/libpam_unix.1
dtlogin  account required       /usr/lib/security/libpam_unix.1
dtaction account required       /usr/lib/security/libpam_unix.1
ftp      account required       /usr/lib/security/libpam_unix.1
#
OTHER    account required       /usr/lib/security/libpam_unix.1
#
# Session management
#
login    session required       /usr/lib/security/libpam_unix.1
dtlogin  session required       /usr/lib/security/libpam_unix.1
dtaction session required       /usr/lib/security/libpam_unix.1
OTHER    session required       /usr/lib/security/libpam_unix.1
#
# Password management
#
login    password required      /usr/lib/security/libpam_unix.1
dtlogin  password required      /usr/lib/security/libpam_unix.1
dtaction password required      /usr/lib/security/libpam_unix.1
other    password required      /usr/lib/security/libpam_unix.1
other    password required      /usr/lib/security/pam_sso.hp.1

Aby zainstalować podłączany moduł uwierzytelniania (PAM) w systemie Linux

Wykonaj poniższe kroki, aby zainstalować moduł PAM na komputerach z systemem Linux.

Aby zainstalować moduł PAM w systemie Linux
  1. Skopiuj plik pam_sso.rhl z katalogu \Unix\Bins na dysku z produktem Windows Server 2008 R2 do katalogu /lib/security na komputerze z systemem UNIX i zmień jego nazwę na pam_sso.so.1.

  2. Na komputerze z systemem UNIX skopiuj plik /etc/pam.d/system-auth do katalogu /etc/pam.d/ssod.

  3. Otwórz plik /etc/pam.d/system-auth za pomocą edytora tekstów i odszukaj poniższy wiersz:

    password…..required…../lib/security/pam_cracklib.so…..retry=3
  4. Po wierszu znalezionym w poprzednim kroku dodaj poniższy wiersz:

    password required /lib/security/pam_sso.so.1

  5. Odszukaj i usuń poniższy wiersz:

    Password    required    /lib/security/pam_deny.so
  6. Zapisz zmodyfikowany plik.

Uwaga

Te instrukcje dotyczą typowej konfiguracji systemu Linux. Jeśli obsługa modułu PAM została skonfigurowana inaczej, może być konieczne dostosowanie tych instrukcji do określonej konfiguracji. Aby wyłączyć synchronizację haseł z systemu UNIX do systemu Windows, należy usunąć wpis w pliku /etc/pam.d/system-auth dodany w kroku 4. Przed zainstalowaniem modułu pam_sso należy się upewnić, że na komputerze z systemem UNIX jest prawidłowo zainstalowana i skonfigurowana obsługa modułu PAM.

Przykładowy plik konfiguracyjny modułu PAM systemu Linux

W poniższych plikach przykładowych pokazano typową konfigurację. Rzeczywista zawartość tych plików może być różna w zależności od konfiguracji systemu.

/etc/pam.d/passwd

#%PAM-1.0
auth       required     /lib/security/pam_stack.so service=system-auth
account    required     /lib/security/pam_stack.so service=system-auth
password   required     /lib/security/pam_stack.so service=system-auth


/etc/pam.d/ssod

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      /lib/security/pam_env.so
auth        sufficient    /lib/security/pam_unix.so likeauth nullok
auth        required      /lib/security/pam_deny.so

account     required      /lib/security/pam_unix.so

password    required      /lib/security/pam_cracklib.so retry=3 type=
password    sufficient    /lib/security/pam_unix.so nullok use_authtok shadow
password    required      /lib/security/pam_deny.so

session     required      /lib/security/pam_limits.so
session     required      /lib/security/pam_unix.so


/etc/pam.d/system-auth

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      /lib/security/pam_env.so
auth        sufficient    /lib/security/pam_unix.so likeauth nullok
auth        required      /lib/security/pam_deny.so

account     required      /lib/security/pam_unix.so

password    required      /lib/security/pam_cracklib.so retry=3 type=
password    required      /lib/security/pam_sso.so.1
password    sufficient    /lib/security/pam_unix.so nullok use_authtok shadow
password    required      /lib/security/pam_deny.so

session     required      /lib/security/pam_limits.so
session     required      /lib/security/pam_unix.so

Aby zainstalować podłączany moduł uwierzytelniania (PAM) w systemie Solaris

Wykonaj poniższe kroki, aby zainstalować moduł PAM na komputerach z systemem Sun Solaris.

Aby zainstalować moduł PAM w systemie Solaris
  1. Skopiuj plik pam_sso.sol z folderu \Unix\Bins na dysku z produktem Windows Server 2008 R2 do katalogu /usr/lib/security na komputerze z systemem UNIX i zmień jego nazwę na pam_sso.so.1.

  2. Na komputerze z systemem UNIX otwórz plik /etc/pam.conf za pomocą edytora tekstów.

  3. W sekcji Password management odszukaj poniższy wiersz:

    other password required /usr/lib/security/$ISA/pam_unix.so.1
  4. Zaraz po wierszu znalezionym w kroku 3 dodaj poniższy wiersz:

    other password required /usr/lib/security/$ISA/pam_sso.so.1

Uwaga

Aby wyłączyć synchronizację haseł z systemu UNIX do systemu Windows, należy usunąć wpis w pliku /etc/pam.conf dodany w kroku 4. Przed zainstalowaniem modułu pam_sso należy się upewnić, że na komputerze z systemem UNIX jest prawidłowo zainstalowana i skonfigurowana obsługa modułu PAM.

Przykładowy plik konfiguracyjny modułu PAM systemu Solaris

W poniższych plikach przykładowych pokazano typową konfigurację. Rzeczywista zawartość tych plików może być różna w zależności od konfiguracji systemu.

#
#ident  "@(#)pam.conf   1.14    99/09/16 SMI"
#
# Copyright (c) 1996-1999, Sun Microsystems, Inc.
# All Rights Reserved.
#
# PAM configuration
#
# Authentication management
#
login   auth required   /usr/lib/security/$ISA/pam_unix.so.1
login   auth required   /usr/lib/security/$ISA/pam_dial_auth.so.1
#
rlogin  auth sufficient /usr/lib/security/$ISA/pam_rhosts_auth.so.1
rlogin  auth required   /usr/lib/security/$ISA/pam_unix.so.1
#
dtlogin auth required   /usr/lib/security/$ISA/pam_unix.so.1
#
rsh     auth required   /usr/lib/security/$ISA/pam_rhosts_auth.so.1
other   auth required   /usr/lib/security/$ISA/pam_unix.so.1
#
# Account management
#
login   account requisite       /usr/lib/security/$ISA/pam_roles.so.1
login   account required        /usr/lib/security/$ISA/pam_unix.so.1
#
dtlogin account requisite       /usr/lib/security/$ISA/pam_roles.so.1
dtlogin account required        /usr/lib/security/$ISA/pam_unix.so.1
#
other   account requisite       /usr/lib/security/$ISA/pam_roles.so.1
other   account required        /usr/lib/security/$ISA/pam_unix.so.1
#
# Session management
#
other   session required        /usr/lib/security/$ISA/pam_unix.so.1
#
# Password management
#

other   password required       /usr/lib/security/$ISA/pam_unix.so.1
other  password required        /usr/lib/security/$ISA/pam_sso.so.1
dtsession auth required /usr/lib/security/$ISA/pam_unix.so.1

#
# Support for Kerberos V5 authentication (uncomment to use Kerberos)
#
#rlogin auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#login  auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#dtlogin        auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#other  auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#dtlogin        account optional /usr/lib/security/$ISA/pam_krb5.so.1
#other  account optional /usr/lib/security/$ISA/pam_krb5.so.1
#other  session optional /usr/lib/security/$ISA/pam_krb5.so.1
#other  password optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass