使用 sso.conf 在基于 UNIX 的计算机上配置密码同步
若要在基于 UNIX 的计算机上更改设置并自定义“密码同步”的工作方式,可以在 sso.conf 文件中更改设置。有关安装 sso.conf 文件的信息,请参阅在基于 UNIX 的计算机上安装密码同步守护程序。
下表描述了可以在 sso.conf 文件中设置的值。
值 | 描述 |
---|---|
CASE_IGNORE_NAME |
指定“密码同步”在比较 Windows 用户名和 UNIX 用户名时,是否将忽略用户名中大小写字母的差异。若要进行不区分大小写的比较,则将此条目设置为 1(默认值);若要强制“密码同步”进行区分大小写的比较,则将此条目设置为 0。 |
ENCRYPT_KEY |
指定用于对与 Windows 服务器交换的密码进行加密的默认密钥。可以使用 SYNC_HOSTS 值中的设置来为特定 Windows 服务器指定其他加密密钥。 |
FILE_PATH |
指定 passwd 或 shadow 文件的完整路径和名称(例如 /etc/passwd)。此文件必须包含用户的加密密码,并且文件的类型(passwd 或 shadow)必须与 USE_SHADOW 指定的类型相同。在 AIX 系统上,shadow 文件的路径和名称为 /etc/security/passwd。 |
IGNORE_PROPAGATION_ERRORS |
设置为 1 时,指定“密码同步”PAM 模块将忽略在更改 Windows 密码时出现的任何错误,并继续与 SYNC_HOSTS 中指定的其他主机进行同步。 |
NIS_UPDATE_PATH |
指定 NIS 生成文件的完整路径。除非将 USE_NIS 设置为 1,否则将忽略此值。 |
PORT_NUMBER |
指定“密码同步”守护程序监听 Windows 服务器上的密码更改时使用的默认端口号。可以使用 SYNC_HOSTS 值中的设置来为特定 Windows 服务器指定其他端口号。 |
SYNC_DELAY |
指定“密码同步”PAM 模块在两次同步尝试之间将等待的秒数。 |
SYNC_HOSTS |
指定要与其同步密码的 Windows 服务器或域控制器。此外,还可以指定特定服务器的端口号或加密密钥(或两者)。使用括号将每个条目括起来,并使用空格分隔各个项目。可以有多个单列一行的条目,每个条目不得超过 269 个字符。通过将所有条目串联来生成服务器或域控制器的总表。例如: SYNC_HOSTS=(Marketing) SYNC_HOSTS=(Sales,ASDFhjkl4321ZyXw) (Accounting,6678) SYNC_HOSTS=(Shipping,6678,ASDFhjkl4321ZyXw) 使用默认端口和加密密钥与 Marketing 服务器同步密码,使用 ASDFhjkl4321ZyXw 作为加密密钥与 Sales 服务器同步密码,使用 6678 作为端口号与 Accounting 服务器同步密码,使用 6678 作为端口号并使用 ASDFhjkl4321ZyXw 作为加密密钥与 Shipping 服务器同步密码。 如果使用服务器特定的端口号或加密密钥设置,则必须使用相同的值在 Windows 服务器上配置“密码同步”,否则,不会同步密码。 |
SYNC_RETRIES |
指定“密码同步”PAM 模块将尝试与 Windows 服务器或域控制器同步密码更改的次数。 |
SYNC_USERS |
指定要同步其密码的 UNIX 用户。可以指定 ALL,以同步所有用户的密码,或指定 NONE,以禁用用户的密码同步。还可以指定特定用户。如果指定一个或多个前面带加号 (+) 的用户,则只同步这些用户的密码。如果指定一个或多个前面带减号 (–) 的用户,则将同步除了指定用户以外的所有用户的密码。例如,若要只允许用户 bobg 和 kimr 同步密码,则指定: SYNC_USERS=+bobg +kimr 若要只禁止 root 和 bobg 同步密码,则指定: SYNC_USERS=–root –bobg 减号始终优先,与条目出现的顺序无关。例如,以下指定不会同步用户 chrisa 的密码: SYNC_USERS=+chrisa –chrisa +chrisa |
TEMP_FILE_PATH |
指定要在更新 passwd 或 shadow 文件时用于存放临时文件的目录的完整路径。此目录应为 passwd 或 shadow 文件所在的相同目录。由于安全原因,只有管理员应访问此目录。 |
USE_NIS |
如果“密码同步”不会与网络信息服务 (NIS) 域进行同步,则设置为 0;如果“密码同步”将与 NIS 域进行同步,则设置为 1。如果将 USE_NIS 设置为 1,则为 NIS_UPDATE_PATH 指定一个有效路径。 |
USE_SHADOW |
如果使用 passwd 文件进行同步,则设置为 0;如果使用 shadow 文件进行同步,则设置为 1。 |