Настройка синхронизации паролей на компьютере UNIX с помощью файла sso.conf
Чтобы настроить синхронизацию паролей на компьютере UNIX, необходимо изменить параметры в файле sso.conf. Дополнительные сведения об установке файла sso.conf см. в разделе Установка управляющей программы синхронизации паролей на компьютеры UNIX.
В приведенной ниже таблице описаны параметры, которые можно указать в файле sso.conf.
Параметр | Описание |
---|---|
CASE_IGNORE_NAME |
Указывает, будет ли в процессе синхронизации паролей учитываться регистр при сравнении имен пользователей Windows и UNIX. Чтобы разрешить сравнение имен без учета регистра, установите для этой записи значение 1 (используется по умолчанию). Чтобы сравнения выполнялись с учетом регистра, установите значение 0. |
ENCRYPT_KEY |
Указывает ключ по умолчанию, используемый для шифрования паролей, полученных в результате обмена с серверами Windows. Чтобы для определенного сервера Windows задать другой ключ шифрования, можно воспользоваться значениями параметра SYNC_HOSTS. |
FILE_PATH |
Указывает имя файла passwd или shadow и полный путь к нему (например: /etc/passwd). Этот файл должен содержать зашифрованные пароли пользователей, а тип файла (passwd или shadow) должен совпадать с типом, заданным с помощью параметра USE_SHADOW. В системах AIX имя файла shadow и путь к нему имеют такой вид: /etc/security/passwd. |
IGNORE_PROPAGATION_ERRORS |
Если задано значение 1, PAM-модуль синхронизации паролей не будет учитывать ошибки, возникающие при изменении пароля Windows, а будет продолжать синхронизацию с другими узлами, заданными с помощью параметра SYNC_HOSTS. |
NIS_UPDATE_PATH |
Указывает полный путь к файлу makefile для NIS. Этот параметр учитывается только в том случае, если для параметра USE_NIS задано значение 1. |
PORT_NUMBER |
Указывает номер порта по умолчанию, по которому управляющая программа синхронизации паролей будет ожидать передачи данных об изменениях паролей с серверов Windows. Чтобы для определенного сервера Windows указать другой номер порта, можно воспользоваться значениями параметра SYNC_HOSTS. |
SYNC_DELAY |
Указывает время ожидания (в секундах) для PAM-модуля синхронизации паролей между попытками синхронизации. |
SYNC_HOSTS |
Указывает серверы Windows или контроллеры домена, с которыми будет выполняться синхронизация паролей. Кроме того, можно указать номер порта или ключ шифрования (либо и то и другое) для определенного сервера. Заключите каждую запись в скобки и для разделения ее элементов используйте пробел. В отдельных строках может быть несколько записей, но длина строки не должна превышать 269 символов. Общий список серверов или контроллеров домена создается путем объединения всех записей. Пример: SYNC_HOSTS=(Marketing) SYNC_HOSTS=(Sales,ASDFhjkl4321ZyXw) (Accounting,6678) SYNC_HOSTS=(Shipping,6678,ASDFhjkl4321ZyXw) В приведенном примере выполняется синхронизация паролей с сервером Marketing с использованием заданных по умолчанию порта и ключа шифрования, с сервером Sales с использованием ключа шифрования ASDFhjkl4321ZyXw, с сервером Accounting с использованием порта 6678, а также с сервером Shipping с использованием порта 6678 и ключа шифрования ASDFhjkl4321ZyXw. Если для сервера заданы номер порта и ключ шифрования, те же значения следует задать при настройке синхронизации паролей на сервере Windows, иначе пароли не будут синхронизироваться. |
SYNC_RETRIES |
Задает количество попыток синхронизации изменений пароля с сервером Windows или контроллером домена для PAM-модуля синхронизации паролей. |
SYNC_USERS |
Указывает пользователей UNIX, чьи пароли нужно синхронизировать. Данному параметру можно присвоить значение ALL для синхронизации паролей всех пользователей или значение NONE для отключения синхронизации паролей пользователей. Можно также указать определенных пользователей. Если указать одного или нескольких пользователей со знаком плюс (+) перед их именами, синхронизация паролей будет выполняться только для этих пользователей. Если указать одного или нескольких пользователей со знаком минус (-) перед их именами, синхронизация паролей будет выполняться для всех пользователей за исключением указанных. Например, чтобы разрешить синхронизацию только паролей пользователей bobg и kimr, укажите следующее: SYNC_USERS=+bobg +kimr Чтобы запретить синхронизацию только паролей пользователей root и bobg, укажите следующее: SYNC_USERS=–root –bobg Знак минус всегда имеет преимущество перед знаком плюс, независимо от порядка следования записей. Например, в приведенном ниже примере пароль пользователя chrisa синхронизирован не будет: SYNC_USERS=+chrisa –chrisa +chrisa |
TEMP_FILE_PATH |
Задает полный путь к каталогу, в котором будет храниться временный файл при обновлении файла passwd или shadow. Им должен быть тот же каталог, в котором расположен файл passwd или shadow. В целях безопасности только администратор должен иметь доступ к этому каталогу. |
USE_NIS |
Задайте значение 0, если синхронизация паролей с NIS-доменом не выполняется; задайте значение 1 при выполнении синхронизации паролей с NIS-доменом. Если для параметра USE_NIS задано значение 1, укажите правильный путь для параметра NIS_UPDATE_PATH. |
USE_SHADOW |
Задайте значение 0, чтобы для синхронизации использовался файл passwd; задайте значение 1, чтобы использовать файл shadow. |