Esta seção contém instruções sobre a instalação do módulo de autenticação conectável (PAM) em computadores executando qualquer uma das quatro famílias de sistema operacional baseado em UNIX a seguir:

Para instalar o módulo de autenticação conectável (PAM) no AIX

Execute as seguintes etapas para instalar o PAM em computadores executando IBM AIX.

Para instalar o PAM no AIX
  1. Copie o arquivo pam_sso.aix de \Unix\Bins no disco do Windows Server® 2008 para /usr/lib/ no computador executando o IBM AIX.

  2. Altere o nome do arquivo para pam_sso.aix.1.

  3. No computador executando AIX, faça logon como raiz e execute o seguinte comando:

    chown root /usr/lib/pam_sso.aix.1 chmod 555 /usr/lib/pam_sso.aix.1

  4. Se necessário, crie o arquivo /etc/pam.conf de acordo com os requisitos da rede, definindo o proprietário para a raiz e as permissões base para 644. Para obter mais informações sobre como criar o arquivo pam.conf, consulte "Módulos de Autenticação Conectáveis" em Guias de Gerenciamento do Sistema: Guia de Segurança na documentação do AIX.

    Este é um arquivo pam.conf de exemplo

     

    #
    # Gerenciamento de autenticação
    #
    OTHER   auth     required       /usr/lib/security/pam_aix
    
    #
    # Gerenciamento de conta
    #
    OTHER   account  required       /usr/lib/security/pam_aix
    
    #
    # Gerenciamento de sessão
    #
    OTHER   session  required       /usr/lib/security/pam_aix
    
  5. Abra /etc/pam.conf usando um editor de texto.

  6. Na seção Gerenciamento de senha, adicione a seguinte linha:

    passwd password required /usr/lib/security/pam_sso.aix.1

    Este é um arquivo pam.conf de exemplo com a linha adicionada.

     

    #
    # Gerenciamento de autenticação
    #
    OTHER   auth     required       /usr/lib/security/pam_aix
    
    #
    # Gerenciamento de conta
    #
    OTHER   account  required       /usr/lib/security/pam_aix
    
    #
    # Gerenciamento de sessão
    #
    OTHER   session  required       /usr/lib/security/pam_aix
    
    #
    # Gerenciamento de senha
    #
    passwd   password required       /usr/lib/security/pam_sso.aix.1
  7. Abra /usr/lib/security/methods.cfg usando um editor de texto e adicione as seguintes linhas no fim do arquivo:

    PAM:    program = /usr/lib/security/PAM

    PAMfiles:    options = auth=PAM,db=BUILTIN

  8. Abra /etc/security/user com um editor de texto e adicione informações de autenticação para usuários específicos cujas senhas você deseja sincronizar. Por exemplo:

    user1:    admin = false    SYSTEM = PAMfiles[*] AND "compat"    registry = PAMfiles
Observação

Você pode optar por alterar a seção padrão de /etc/security/user para permitir que todos os usuários sincronizem suas senhas. Nesse caso, para restringir o acesso à Sincronização de Senha, você pode usar o atributo SYNC_USERS no arquivo /etc/sso.conf para restringir o acesso. Para obter mais informações, consulte Usar sso.conf para configurar Sincronização de Senha em computadores baseados em UNIX. Para desabilitar a sincronização de senha de UNIX para Windows, remova a entrada em /etc/pam.conf que você adicionou na etapa 6.

Para instalar o módulo de autenticação conectável (PAM) em HP-UX

Execute as seguintes etapas para instalar o PAM em computadores executando Hewlett-Packard HP-UX.

Para instalar o PAM em HP-UX
  1. Copie pam_sso.hpx de \Unix\Bins no disco do Windows Server 2008 para /usr/lib/security no computador com UNIX.

  2. Altere o nome do arquivo para pam_sso.hp.1 e defina os bits de modo de arquivo como 544.

    Observação

    Os bits de modo de arquivo para pam_sso.hp.1 devem ser definidos como 544 (o:r-x,g:r--,w:r--) ou não funcionarão corretamente.

  3. No computador executando HP-UX, abra /etc/pam.conf usando um editor de texto.

  4. Na seção Gerenciamento de senha, localize a seguinte linha:

    other    password required      /usr/lib/security/libpam_unix.1
  5. Imediatamente depois da linha localizada na etapa anterior, adicione a seguinte linha:

    other password required /usr/lib/security/pam_sso.hp.1

Observação

Para desabilitar a sincronização de senha do UNIX para Windows, remova a entrada em /etc/pam.conf que você adicionou na etapa 5. Antes de instalar o pam_sso module, verifique se o suporte de PAM está instalado e configurado corretamente no computador com UNIX.

Arquivo de configuração HP-UX PAM de exemplo

Os seguintes exemplos de arquivo mostram uma configuração típica. O conteúdo real desses arquivos pode variar, dependendo da configuração do sistema.

#
# Configuração PAM
#
# Gerenciamento de autenticação
#
login    auth required  /usr/lib/security/libpam_unix.1
su       auth required  /usr/lib/security/libpam_unix.1
dtlogin  auth required  /usr/lib/security/libpam_unix.1
dtaction auth required  /usr/lib/security/libpam_unix.1
ftp      auth required  /usr/lib/security/libpam_unix.1
OTHER    auth required  /usr/lib/security/libpam_unix.1
#
# Gerenciamento de conta
#
login    account required       /usr/lib/security/libpam_unix.1
su       account required       /usr/lib/security/libpam_unix.1
dtlogin  account required       /usr/lib/security/libpam_unix.1
dtaction account required       /usr/lib/security/libpam_unix.1
ftp      account required       /usr/lib/security/libpam_unix.1
#
OTHER    account required       /usr/lib/security/libpam_unix.1
#
# Gerenciamento de sessão
#
login    session required       /usr/lib/security/libpam_unix.1
dtlogin  session required       /usr/lib/security/libpam_unix.1
dtaction session required       /usr/lib/security/libpam_unix.1
OTHER    session required       /usr/lib/security/libpam_unix.1
#
# Gerenciamento de senha
#
login    password required      /usr/lib/security/libpam_unix.1
dtlogin  password required      /usr/lib/security/libpam_unix.1
dtaction password required      /usr/lib/security/libpam_unix.1
other    password required      /usr/lib/security/libpam_unix.1
other password required /usr/lib/security/pam_sso.hp.1

Para instalar o módulo de autenticação conectável (PAM) no Linux

Execute as seguintes etapas para instalar o PAM em computadores executando Linux.

Para instalar o PAM no Linux
  1. Copie pam_sso.rhl de \Unix\Bins no disco do Windows Server 2008 para /lib/security no computador com UNIX e altere o nome para pam_sso.so.1.

  2. No computador com UNIX, copie /etc/pam.d/system-auth para /etc/pam.d/ssod.

  3. Abra /etc/pam.d/system-auth com um editor de texto e localize a seguinte linha:

    password…..required…../lib/security/pam_cracklib.so…..retry=3
  4. Depois da linha na etapa anterior, adicione a seguinte linha:

    password required /lib/security/pam_sso.so.1

  5. Localize e exclua a seguinte linha:

    Password    required    /lib/security/pam_deny.so
  6. Salve o arquivo modificado.

Observação

Essas instruções se aplicam à configuração típica do Linux. Se você configurou o suporte ao PAM diferentemente, talvez seja necessário ajustar essas instruções à configuração específica. Para desabilitar a sincronização de senha do UNIX para Windows, remova a entrada em /etc/pam.d/system-auth que você adicionou na etapa 4. Antes de instalar o pam_sso module, verifique se o suporte de PAM está instalado e configurado corretamente no computador com UNIX.

Arquivo de exemplo de configuração do PAM no Linux

Os seguintes exemplos de arquivo mostram uma configuração típica. O conteúdo real desses arquivos pode variar, dependendo da configuração do sistema.

/etc/pam.d/passwd

#%PAM-1.0
auth       required     /lib/security/pam_stack.so service=system-auth
account    required     /lib/security/pam_stack.so service=system-auth
password   required     /lib/security/pam_stack.so service=system-auth


/etc/pam.d/ssod

#%PAM-1.0
# Este arquivo é gerado automaticamente.
# As alterações do usuário serão destruídas na próxima vez que authconfig for executado.
auth        required      /lib/security/pam_env.so
auth        sufficient    /lib/security/pam_unix.so likeauth nullok
auth        required      /lib/security/pam_deny.so

account     required      /lib/security/pam_unix.so

password    required      /lib/security/pam_cracklib.so retry=3 type=
password    sufficient    /lib/security/pam_unix.so nullok use_authtok shadow
password    required      /lib/security/pam_deny.so

session     required      /lib/security/pam_limits.so
session     required      /lib/security/pam_unix.so


/etc/pam.d/system-auth

#%PAM-1.0
# Este arquivo é gerado automaticamente.
# As alterações do usuário serão destruídas na próxima vez que authconfig for executado.
auth        required      /lib/security/pam_env.so
auth        sufficient    /lib/security/pam_unix.so likeauth nullok
auth        required      /lib/security/pam_deny.so

account     required      /lib/security/pam_unix.so

password    required      /lib/security/pam_cracklib.so retry=3 type=
password required /lib/security/pam_sso.so.1
password    sufficient    /lib/security/pam_unix.so nullok use_authtok shadow
password    required      /lib/security/pam_deny.so

session     required      /lib/security/pam_limits.so
session     required      /lib/security/pam_unix.so

Para instalar o módulo de autenticação conectável (PAM) no Solaris

Execute as seguintes etapas para instalar o PAM em computadores executando Sun Solaris.

Para instalar o PAM no Solaris
  1. Copie pam_sso.sol da pasta \Unix\Bins no disco do Windows Server 2008 para o diretório /usr/lib/security no computador com UNIX e altere o nome para pam_sso.so.1.

  2. No computador com UNIX, abra /etc/pam.conf com um editor de texto.

  3. Na seção Gerenciamento de senha, localize a seguinte linha:

    other password required /usr/lib/security/$ISA/pam_unix.so.1
  4. Imediatamente depois da linha localizada na etapa 3, adicione a seguinte linha:

    other password required /usr/lib/security/$ISA/pam_sso.so.1

Observação

Para desabilitar a sincronização de senha do UNIX para Windows, remova a entrada em /etc/pam.conf que você adicionou na etapa 4. Antes de instalar o pam_sso module, verifique se o suporte de PAM está instalado e configurado corretamente no computador com UNIX.

Arquivo de exemplo de configuração do PAM no Solaris

Os seguintes exemplos de arquivo mostram uma configuração típica. O conteúdo real desses arquivos pode variar, dependendo da configuração do sistema.

#
#ident  "@(#)pam.conf   1.14    99/09/16 SMI"
#
# Copyright (c) 1996-1999, Sun Microsystems, Inc.
# Todos os direitos reservados.
#
# Configuração PAM
#
# Gerenciamento de autenticação
#
login   auth required   /usr/lib/security/$ISA/pam_unix.so.1
login   auth required   /usr/lib/security/$ISA/pam_dial_auth.so.1
#
rlogin  auth sufficient /usr/lib/security/$ISA/pam_rhosts_auth.so.1
rlogin  auth required   /usr/lib/security/$ISA/pam_unix.so.1
#
dtlogin auth required   /usr/lib/security/$ISA/pam_unix.so.1
#
rsh     auth required   /usr/lib/security/$ISA/pam_rhosts_auth.so.1
other   auth required   /usr/lib/security/$ISA/pam_unix.so.1
#
# Gerenciamento de conta
#
login   account requisite       /usr/lib/security/$ISA/pam_roles.so.1
login   account required        /usr/lib/security/$ISA/pam_unix.so.1
#
dtlogin account requisite       /usr/lib/security/$ISA/pam_roles.so.1
dtlogin account required        /usr/lib/security/$ISA/pam_unix.so.1
#
other   account requisite       /usr/lib/security/$ISA/pam_roles.so.1
other   account required        /usr/lib/security/$ISA/pam_unix.so.1
#
# Gerenciamento de sessão
#
other   session required        /usr/lib/security/$ISA/pam_unix.so.1
#
# Gerenciamento de senha
#

other password required /usr/lib/security/$ISA/pam_unix.so.1
other password required /usr/lib/security/$ISA/pam_sso.so.1
dtsession auth required /usr/lib/security/$ISA/pam_unix.so.1

#
# Suporte para autenticação Kerberos V5 (não comentar para usar Kerberos)
#
#rlogin auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#login  auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#dtlogin        auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#other  auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#dtlogin        account optional /usr/lib/security/$ISA/pam_krb5.so.1
#other  account optional /usr/lib/security/$ISA/pam_krb5.so.1
#other  session optional /usr/lib/security/$ISA/pam_krb5.so.1
#other  password optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass