使用 sso.conf 在基于 UNIX 的计算机上配置密码同步

CASE_IGNORE_NAME

指定“密码同步”在比较 Windows 用户名和 UNIX 用户名时，是否将忽略用户名中大小写字母的差异。若要进行不区分大小写的比较，则将此条目设置为 1（默认值）；若要强制“密码同步”进行区分大小写的比较，则将此条目设置为 0。

ENCRYPT_KEY

指定用于对与 Windows 服务器交换的密码进行加密的默认密钥。可以使用 SYNC_HOSTS 值中的设置来为特定 Windows 服务器指定其他加密密钥。

FILE_PATH

指定 passwd 或 shadow 文件的完整路径和名称（例如 /etc/passwd）。此文件必须包含用户的加密密码，并且文件的类型（passwd 或 shadow）必须与 USE_SHADOW 指定的类型相同。在 AIX 系统上，shadow 文件的路径和名称为 /etc/security/passwd。

IGNORE_PROPAGATION_ERRORS

设置为 1 时，指定“密码同步”PAM 模块将忽略在更改 Windows 密码时出现的任何错误，并继续与 SYNC_HOSTS 中指定的其他主机进行同步。

NIS_UPDATE_PATH

指定 NIS 生成文件的完整路径。除非将 USE_NIS 设置为 1，否则将忽略此值。

PORT_NUMBER

指定“密码同步”守护程序监听 Windows 服务器上的密码更改时使用的默认端口号。可以使用 SYNC_HOSTS 值中的设置来为特定 Windows 服务器指定其他端口号。

SYNC_DELAY

指定“密码同步”PAM 模块在两次同步尝试之间将等待的秒数。

SYNC_HOSTS

指定要与其同步密码的 Windows 服务器或域控制器。此外，还可以指定特定服务器的端口号或加密密钥（或两者）。使用括号将每个条目括起来，并使用空格分隔各个项目。可以有多个单列一行的条目，每个条目不得超过 269 个字符。通过将所有条目串联来生成服务器或域控制器的总表。例如：

SYNC_HOSTS=(Marketing) 
SYNC_HOSTS=(Sales,ASDFhjkl4321ZyXw) (Accounting,6678) 
SYNC_HOSTS=(Shipping,6678,ASDFhjkl4321ZyXw)

使用默认端口和加密密钥与 Marketing 服务器同步密码，使用 ASDFhjkl4321ZyXw 作为加密密钥与 Sales 服务器同步密码，使用 6678 作为端口号与 Accounting 服务器同步密码，使用 6678 作为端口号并使用 ASDFhjkl4321ZyXw 作为加密密钥与 Shipping 服务器同步密码。

如果使用服务器特定的端口号或加密密钥设置，则必须使用相同的值在 Windows 服务器上配置“密码同步”，否则，不会同步密码。

SYNC_RETRIES

指定“密码同步”PAM 模块将尝试与 Windows 服务器或域控制器同步密码更改的次数。

SYNC_USERS

指定要同步其密码的 UNIX 用户。可以指定 ALL，以同步所有用户的密码，或指定 NONE，以禁用用户的密码同步。还可以指定特定用户。如果指定一个或多个前面带加号 (+) 的用户，则只同步这些用户的密码。如果指定一个或多个前面带减号 (–) 的用户，则将同步除了指定用户以外的所有用户的密码。例如，若要只允许用户 bobg 和 kimr 同步密码，则指定：

SYNC_USERS=+bobg +kimr

若要只禁止 root 和 bobg 同步密码，则指定：

SYNC_USERS=–root –bobg

减号始终优先，与条目出现的顺序无关。例如，以下指定不会同步用户 chrisa 的密码：

SYNC_USERS=+chrisa –chrisa +chrisa

TEMP_FILE_PATH

指定要在更新 passwd 或 shadow 文件时用于存放临时文件的目录的完整路径。此目录应为 passwd 或 shadow 文件所在的相同目录。由于安全原因，只有管理员应访问此目录。

USE_NIS

如果“密码同步”不会与网络信息服务 (NIS) 域进行同步，则设置为 0；如果“密码同步”将与 NIS 域进行同步，则设置为 1。如果将 USE_NIS 设置为 1，则为 NIS_UPDATE_PATH 指定一个有效路径。

USE_SHADOW

如果使用 passwd 文件进行同步，则设置为 0；如果使用 shadow 文件进行同步，则设置为 1。