Ta sekcja zawiera instrukcje instalowania podłączanego modułu uwierzytelniania (PAM) na komputerach z dowolnym systemem operacyjnym należącym do czterech poniższych rodzin systemów operacyjnych opartych na systemie UNIX:
Aby zainstalować podłączany moduł uwierzytelniania (PAM) w systemie AIX
Wykonaj poniższe kroki, aby zainstalować moduł PAM na komputerach z systemem IBM AIX.
 | Aby zainstalować moduł PAM w systemie AIX |
Skopiuj plik pam_sso.aix z katalogu \Unix\Bins na dysku z produktem Windows Server® 2008 R2 do katalogu /usr/lib/ na komputerze z uruchomionym systemem IBM AIX.
Zmień nazwę pliku na pam_sso.aix.1.
Zaloguj się do komputera z systemem AIX jako root, a następnie wykonaj poniższe polecenie:
chown root /usr/lib/pam_sso.aix.1 chmod 555 /usr/lib/pam_sso.aix.1
W razie potrzeby utwórz plik /etc/pam.conf zgodnie z wymaganiami używanej sieci, ustawiając jako właściciela administratora oraz ustawiając dla uprawnień podstawowych wartość 644. Aby uzyskać więcej informacji na temat tworzenia pliku pam.conf, zobacz „Podłączane moduły uwierzytelniania” w dokumencie System Management Guides: Security Guide w dokumentacji systemu AIX.
Poniżej przedstawiono przykładowy plik pam.conf.
# # Authentication management # OTHER auth required /usr/lib/security/pam_aix # # Account management # OTHER account required /usr/lib/security/pam_aix # # Session management # OTHER session required /usr/lib/security/pam_aix
Otwórz plik /etc/pam.conf za pomocą edytora tekstów.
W sekcji Password management dodaj poniższy wiersz:
passwd password required /usr/lib/security/pam_sso.aix.1
Poniżej przedstawiono przykładowy plik pam.conf po dodaniu tego wiersza.
# # Authentication management # OTHER auth required /usr/lib/security/pam_aix # # Account management # OTHER account required /usr/lib/security/pam_aix # # Session management # OTHER session required /usr/lib/security/pam_aix # # Password management # passwd password required /usr/lib/security/pam_sso.aix.1
Otwórz plik /usr/lib/security/methods.cfg za pomocą edytora tekstów i dodaj na końcu tego pliku poniższe wiersze:
PAM: program = /usr/lib/security/PAM
PAMfiles: options = auth=PAM,db=BUILTIN
Otwórz plik /etc/security/user za pomocą edytora tekstów i dodaj informacje o uwierzytelnianiu dla określonych użytkowników, których hasła chcesz synchronizować. Na przykład:
user1: admin = false SYSTEM = PAMfiles[*] AND "compat" registry = PAMfiles
 | Uwaga |
|
Można zdecydować się na zmianę sekcji domyślnej pliku /etc/security/user w celu zezwolenia wszystkim użytkownikom na synchronizowanie haseł. W tym przypadku, aby ograniczyć dostęp do synchronizacji haseł, w pliku /etc/sso.conf można użyć atrybutu SYNC_USERS. Aby uzyskać więcej informacji, zobacz temat Konfigurowanie synchronizacji haseł na komputerach z systemem UNIX za pomocą pliku sso.conf. Aby wyłączyć synchronizację haseł z systemu UNIX do systemu Windows, należy usunąć wpis w pliku /etc/pam.conf dodany w kroku 6. |
Aby zainstalować podłączany moduł uwierzytelniania (PAM) w systemie HP-UX
Wykonaj poniższe kroki, aby zainstalować moduł PAM na komputerach z systemem Hewlett-Packard HP-UX.
| Aby zainstalować moduł PAM w systemie HP-UX |
Skopiuj plik pam_sso.hpx z katalogu \Unix\Bins na dysku z produktem Windows Server 2008 R2 do katalogu /usr/lib/security na komputerze z systemem UNIX.
Zmień nazwę pliku na pam_sso.hp.1, a następnie ustaw dla jego bitów trybu pliku wartość 544.
Uwaga Dla bitów trybu pliku pliku pam_sso.hp.1 musi być ustawiona wartość 544 (o:r-x,g:r--,w:r--). W przeciwnym wypadku plik nie będzie działać prawidłowo.
Na komputerze z systemem HP-UX otwórz plik /etc/pam.conf za pomocą edytora tekstów.
W sekcji Password management odszukaj poniższy wiersz:
other password required /usr/lib/security/libpam_unix.1
Zaraz po wierszu znalezionym w poprzednim kroku dodaj poniższy wiersz:
other password required /usr/lib/security/pam_sso.hp.1
| Uwaga |
|
Aby wyłączyć synchronizację haseł z systemu UNIX do systemu Windows, należy usunąć wpis w pliku /etc/pam.conf dodany w kroku 5. Przed zainstalowaniem modułu pam_sso należy się upewnić, że na komputerze z systemem UNIX jest prawidłowo zainstalowana i skonfigurowana obsługa modułu PAM. |
Przykładowy plik konfiguracyjny modułu PAM systemu HP-UX
W poniższych plikach przykładowych pokazano typową konfigurację. Rzeczywista zawartość tych plików może być różna w zależności od konfiguracji systemu.
# # PAM configuration # # Authentication management # login auth required /usr/lib/security/libpam_unix.1 su auth required /usr/lib/security/libpam_unix.1 dtlogin auth required /usr/lib/security/libpam_unix.1 dtaction auth required /usr/lib/security/libpam_unix.1 ftp auth required /usr/lib/security/libpam_unix.1 OTHER auth required /usr/lib/security/libpam_unix.1 # # Account management # login account required /usr/lib/security/libpam_unix.1 su account required /usr/lib/security/libpam_unix.1 dtlogin account required /usr/lib/security/libpam_unix.1 dtaction account required /usr/lib/security/libpam_unix.1 ftp account required /usr/lib/security/libpam_unix.1 # OTHER account required /usr/lib/security/libpam_unix.1 # # Session management # login session required /usr/lib/security/libpam_unix.1 dtlogin session required /usr/lib/security/libpam_unix.1 dtaction session required /usr/lib/security/libpam_unix.1 OTHER session required /usr/lib/security/libpam_unix.1 # # Password management # login password required /usr/lib/security/libpam_unix.1 dtlogin password required /usr/lib/security/libpam_unix.1 dtaction password required /usr/lib/security/libpam_unix.1 other password required /usr/lib/security/libpam_unix.1 other password required /usr/lib/security/pam_sso.hp.1
Aby zainstalować podłączany moduł uwierzytelniania (PAM) w systemie Linux
Wykonaj poniższe kroki, aby zainstalować moduł PAM na komputerach z systemem Linux.
| Aby zainstalować moduł PAM w systemie Linux |
Skopiuj plik pam_sso.rhl z katalogu \Unix\Bins na dysku z produktem Windows Server 2008 R2 do katalogu /lib/security na komputerze z systemem UNIX i zmień jego nazwę na pam_sso.so.1.
Na komputerze z systemem UNIX skopiuj plik /etc/pam.d/system-auth do katalogu /etc/pam.d/ssod.
Otwórz plik /etc/pam.d/system-auth za pomocą edytora tekstów i odszukaj poniższy wiersz:
password…..required…../lib/security/pam_cracklib.so…..retry=3
Po wierszu znalezionym w poprzednim kroku dodaj poniższy wiersz:
password required /lib/security/pam_sso.so.1
Odszukaj i usuń poniższy wiersz:
Password required /lib/security/pam_deny.so
Zapisz zmodyfikowany plik.
| Uwaga |
|
Te instrukcje dotyczą typowej konfiguracji systemu Linux. Jeśli obsługa modułu PAM została skonfigurowana inaczej, może być konieczne dostosowanie tych instrukcji do określonej konfiguracji. Aby wyłączyć synchronizację haseł z systemu UNIX do systemu Windows, należy usunąć wpis w pliku /etc/pam.d/system-auth dodany w kroku 4. Przed zainstalowaniem modułu pam_sso należy się upewnić, że na komputerze z systemem UNIX jest prawidłowo zainstalowana i skonfigurowana obsługa modułu PAM. |
Przykładowy plik konfiguracyjny modułu PAM systemu Linux
W poniższych plikach przykładowych pokazano typową konfigurację. Rzeczywista zawartość tych plików może być różna w zależności od konfiguracji systemu.
/etc/pam.d/passwd #%PAM-1.0 auth required /lib/security/pam_stack.so service=system-auth account required /lib/security/pam_stack.so service=system-auth password required /lib/security/pam_stack.so service=system-auth /etc/pam.d/ssod #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required /lib/security/pam_env.so auth sufficient /lib/security/pam_unix.so likeauth nullok auth required /lib/security/pam_deny.so account required /lib/security/pam_unix.so password required /lib/security/pam_cracklib.so retry=3 type= password sufficient /lib/security/pam_unix.so nullok use_authtok shadow password required /lib/security/pam_deny.so session required /lib/security/pam_limits.so session required /lib/security/pam_unix.so /etc/pam.d/system-auth #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required /lib/security/pam_env.so auth sufficient /lib/security/pam_unix.so likeauth nullok auth required /lib/security/pam_deny.so account required /lib/security/pam_unix.so password required /lib/security/pam_cracklib.so retry=3 type= password required /lib/security/pam_sso.so.1 password sufficient /lib/security/pam_unix.so nullok use_authtok shadow password required /lib/security/pam_deny.so session required /lib/security/pam_limits.so session required /lib/security/pam_unix.so
Aby zainstalować podłączany moduł uwierzytelniania (PAM) w systemie Solaris
Wykonaj poniższe kroki, aby zainstalować moduł PAM na komputerach z systemem Sun Solaris.
| Aby zainstalować moduł PAM w systemie Solaris |
Skopiuj plik pam_sso.sol z folderu \Unix\Bins na dysku z produktem Windows Server 2008 R2 do katalogu /usr/lib/security na komputerze z systemem UNIX i zmień jego nazwę na pam_sso.so.1.
Na komputerze z systemem UNIX otwórz plik /etc/pam.conf za pomocą edytora tekstów.
W sekcji Password management odszukaj poniższy wiersz:
other password required /usr/lib/security/$ISA/pam_unix.so.1
Zaraz po wierszu znalezionym w kroku 3 dodaj poniższy wiersz:
other password required /usr/lib/security/$ISA/pam_sso.so.1
| Uwaga |
|
Aby wyłączyć synchronizację haseł z systemu UNIX do systemu Windows, należy usunąć wpis w pliku /etc/pam.conf dodany w kroku 4. Przed zainstalowaniem modułu pam_sso należy się upewnić, że na komputerze z systemem UNIX jest prawidłowo zainstalowana i skonfigurowana obsługa modułu PAM. |
Przykładowy plik konfiguracyjny modułu PAM systemu Solaris
W poniższych plikach przykładowych pokazano typową konfigurację. Rzeczywista zawartość tych plików może być różna w zależności od konfiguracji systemu.
# #ident "@(#)pam.conf 1.14 99/09/16 SMI" # # Copyright (c) 1996-1999, Sun Microsystems, Inc. # All Rights Reserved. # # PAM configuration # # Authentication management # login auth required /usr/lib/security/$ISA/pam_unix.so.1 login auth required /usr/lib/security/$ISA/pam_dial_auth.so.1 # rlogin auth sufficient /usr/lib/security/$ISA/pam_rhosts_auth.so.1 rlogin auth required /usr/lib/security/$ISA/pam_unix.so.1 # dtlogin auth required /usr/lib/security/$ISA/pam_unix.so.1 # rsh auth required /usr/lib/security/$ISA/pam_rhosts_auth.so.1 other auth required /usr/lib/security/$ISA/pam_unix.so.1 # # Account management # login account requisite /usr/lib/security/$ISA/pam_roles.so.1 login account required /usr/lib/security/$ISA/pam_unix.so.1 # dtlogin account requisite /usr/lib/security/$ISA/pam_roles.so.1 dtlogin account required /usr/lib/security/$ISA/pam_unix.so.1 # other account requisite /usr/lib/security/$ISA/pam_roles.so.1 other account required /usr/lib/security/$ISA/pam_unix.so.1 # # Session management # other session required /usr/lib/security/$ISA/pam_unix.so.1 # # Password management # other password required /usr/lib/security/$ISA/pam_unix.so.1 other password required /usr/lib/security/$ISA/pam_sso.so.1 dtsession auth required /usr/lib/security/$ISA/pam_unix.so.1 # # Support for Kerberos V5 authentication (uncomment to use Kerberos) # #rlogin auth optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass #login auth optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass #dtlogin auth optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass #other auth optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass #dtlogin account optional /usr/lib/security/$ISA/pam_krb5.so.1 #other account optional /usr/lib/security/$ISA/pam_krb5.so.1 #other session optional /usr/lib/security/$ISA/pam_krb5.so.1 #other password optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass