Настройка синхронизации паролей на компьютере UNIX с помощью файла sso.conf

Чтобы настроить синхронизацию паролей на компьютере UNIX, необходимо изменить параметры в файле sso.conf. Дополнительные сведения об установке файла sso.conf см. в разделе Установка управляющей программы синхронизации паролей на компьютеры UNIX.

В приведенной ниже таблице описаны параметры, которые можно указать в файле sso.conf.

Параметр Описание

CASE_IGNORE_NAME

Указывает, будет ли в процессе синхронизации паролей учитываться регистр при сравнении имен пользователей Windows и UNIX. Чтобы разрешить сравнение имен без учета регистра, установите для этой записи значение 1 (используется по умолчанию). Чтобы сравнения выполнялись с учетом регистра, установите значение 0.

ENCRYPT_KEY

Указывает ключ по умолчанию, используемый для шифрования паролей, полученных в результате обмена с серверами Windows. Чтобы для определенного сервера Windows задать другой ключ шифрования, можно воспользоваться значениями параметра SYNC_HOSTS.

FILE_PATH

Указывает имя файла passwd или shadow и полный путь к нему (например: /etc/passwd). Этот файл должен содержать зашифрованные пароли пользователей, а тип файла (passwd или shadow) должен совпадать с типом, заданным с помощью параметра USE_SHADOW. В системах AIX имя файла shadow и путь к нему имеют такой вид: /etc/security/passwd.

IGNORE_PROPAGATION_ERRORS

Если задано значение 1, PAM-модуль синхронизации паролей не будет учитывать ошибки, возникающие при изменении пароля Windows, а будет продолжать синхронизацию с другими узлами, заданными с помощью параметра SYNC_HOSTS.

NIS_UPDATE_PATH

Указывает полный путь к файлу makefile для NIS. Этот параметр учитывается только в том случае, если для параметра USE_NIS задано значение 1.

PORT_NUMBER

Указывает номер порта по умолчанию, по которому управляющая программа синхронизации паролей будет ожидать передачи данных об изменениях паролей с серверов Windows. Чтобы для определенного сервера Windows указать другой номер порта, можно воспользоваться значениями параметра SYNC_HOSTS.

SYNC_DELAY

Указывает время ожидания (в секундах) для PAM-модуля синхронизации паролей между попытками синхронизации.

SYNC_HOSTS

Указывает серверы Windows или контроллеры домена, с которыми будет выполняться синхронизация паролей. Кроме того, можно указать номер порта или ключ шифрования (либо и то и другое) для определенного сервера. Заключите каждую запись в скобки и для разделения ее элементов используйте пробел. В отдельных строках может быть несколько записей, но длина строки не должна превышать 269 символов. Общий список серверов или контроллеров домена создается путем объединения всех записей. Пример:

SYNC_HOSTS=(Marketing) 
SYNC_HOSTS=(Sales,ASDFhjkl4321ZyXw) (Accounting,6678) 
SYNC_HOSTS=(Shipping,6678,ASDFhjkl4321ZyXw)

В приведенном примере выполняется синхронизация паролей с сервером Marketing с использованием заданных по умолчанию порта и ключа шифрования, с сервером Sales с использованием ключа шифрования ASDFhjkl4321ZyXw, с сервером Accounting с использованием порта 6678, а также с сервером Shipping с использованием порта 6678 и ключа шифрования ASDFhjkl4321ZyXw.

Если для сервера заданы номер порта и ключ шифрования, те же значения следует задать при настройке синхронизации паролей на сервере Windows, иначе пароли не будут синхронизироваться.

SYNC_RETRIES

Задает количество попыток синхронизации изменений пароля с сервером Windows или контроллером домена для PAM-модуля синхронизации паролей.

SYNC_USERS

Указывает пользователей UNIX, чьи пароли нужно синхронизировать. Данному параметру можно присвоить значение ALL для синхронизации паролей всех пользователей или значение NONE для отключения синхронизации паролей пользователей. Можно также указать определенных пользователей. Если указать одного или нескольких пользователей со знаком плюс (+) перед их именами, синхронизация паролей будет выполняться только для этих пользователей. Если указать одного или нескольких пользователей со знаком минус (-) перед их именами, синхронизация паролей будет выполняться для всех пользователей за исключением указанных. Например, чтобы разрешить синхронизацию только паролей пользователей bobg и kimr, укажите следующее:

SYNC_USERS=+bobg +kimr

Чтобы запретить синхронизацию только паролей пользователей root и bobg, укажите следующее:

SYNC_USERS=–root –bobg

Знак минус всегда имеет преимущество перед знаком плюс, независимо от порядка следования записей. Например, в приведенном ниже примере пароль пользователя chrisa синхронизирован не будет:

SYNC_USERS=+chrisa –chrisa +chrisa

TEMP_FILE_PATH

Задает полный путь к каталогу, в котором будет храниться временный файл при обновлении файла passwd или shadow. Им должен быть тот же каталог, в котором расположен файл passwd или shadow. В целях безопасности только администратор должен иметь доступ к этому каталогу.

USE_NIS

Задайте значение 0, если синхронизация паролей с NIS-доменом не выполняется; задайте значение 1 при выполнении синхронизации паролей с NIS-доменом. Если для параметра USE_NIS задано значение 1, укажите правильный путь для параметра NIS_UPDATE_PATH.

USE_SHADOW

Задайте значение 0, чтобы для синхронизации использовался файл passwd; задайте значение 1, чтобы использовать файл shadow.


Содержание