使用 sso.conf 在基于 UNIX 的计算机上配置密码同步

若要在基于 UNIX 的计算机上更改设置并自定义“密码同步”的工作方式,可以在 sso.conf 文件中更改设置。有关安装 sso.conf 文件的‏信息,请参阅在基于 UNIX 的计算机上安装密码同步守护程序

下表描述了可以在 sso.conf 文件中设置的值。

描述

CASE_IGNORE_NAME

指定“密码同步”在比较 Windows 用户名和 UNIX 用户名时,是否将忽略用户名中大小写字母的差异。若要进行不区分大小写的比较,则将此条目设置为 1(默认值);若要强制“密码同步”进行区分大小写的比较,则将此条目设置为 0。

ENCRYPT_KEY

指定用于对与 Windows 服务器交换的密码进行加密的默认密钥。可以使用 SYNC_HOSTS 值中的设置来为特定 Windows 服务器指定其他加密密钥。

FILE_PATH

指定 passwd 或 shadow 文件的完整路径和名称(例如 /etc/passwd)。此文件必须包含用户的加密密码,并且文件的类型(passwd 或 shadow)必须与 USE_SHADOW 指定的类型相同。在 AIX 系统上,shadow 文件的路径和名称为 /etc/security/passwd。

IGNORE_PROPAGATION_ERRORS

设置为 1 时,指定“密码同步”PAM 模块将忽略在更改 Windows 密码时出现的任何错误,并继续与 SYNC_HOSTS 中指定的其他主机进行同步。

NIS_UPDATE_PATH

指定 NIS 生成文件的完整路径。除非将 USE_NIS 设置为 1,否则将忽略此值。

PORT_NUMBER

指定“密码同步”守护程序监听 Windows 服务器上的密码更改时使用的默认端口号。可以使用 SYNC_HOSTS 值中的设置来为特定 Windows 服务器指定其他端口号。

SYNC_DELAY

指定“密码同步”PAM 模块在两次同步尝试之间将等待的秒数。

SYNC_HOSTS

指定要与其同步密码的 Windows 服务器或域控制器。此外,还可以指定特定服务器的端口号或加密密钥(或两者)。使用括号将每个条目括起来,并使用空格分隔各个项目。可以有多个单列一行的条目,每个条目不得超过 269 个字符。通过将所有条目串联来生成服务器或域控制器的总表。例如:

SYNC_HOSTS=(Marketing) 
SYNC_HOSTS=(Sales,ASDFhjkl4321ZyXw) (Accounting,6678) 
SYNC_HOSTS=(Shipping,6678,ASDFhjkl4321ZyXw)

使用默认端口和加密密钥与 Marketing 服务器同步密码,使用 ASDFhjkl4321ZyXw 作为加密密钥与 Sales 服务器同步密码,使用 6678 作为端口号与 Accounting 服务器同步密码,使用 6678 作为端口号并使用 ASDFhjkl4321ZyXw 作为加密密钥与 Shipping 服务器同步密码。

如果使用服务器特定的端口号或加密密钥设置,则必须使用相同的值在 Windows 服务器上配置“密码同步”,否则,不会同步密码。

SYNC_RETRIES

指定“密码同步”PAM 模块将尝试与 Windows 服务器或域控制器同步密码更改的次数。

SYNC_USERS

指定要同步其密码的 UNIX 用户。可以指定 ALL,以同步所有用户的密码,或指定 NONE,以禁用用户的密码同步。还可以指定特定用户。如果指定一个或多个前面带加号 (+) 的用户,则只同步这些用户的密码。如果指定一个或多个前面带减号 () 的用户,则将同步除了指定用户以外的所有用户的密码。例如,若要只允许用户 bobg 和 kimr 同步密码,则指定:

SYNC_USERS=+bobg +kimr

若要只禁止 root 和 bobg 同步密码,则指定:

SYNC_USERS=–root –bobg

减号始终优先,与条目出现的顺序无关。例如,以下指定不会同步用户 chrisa 的密码:

SYNC_USERS=+chrisa –chrisa +chrisa

TEMP_FILE_PATH

指定要在更新 passwd 或 shadow 文件时用于存放临时文件的目录的完整路径。此目录应为 passwd 或 shadow 文件所在的相同目录。由于安全原因,只有管理员应访问此目录。

USE_NIS

如果“密码同步”不会与网络信息服务 (NIS) 域进行同步,则设置为 0;如果“密码同步”将与 NIS 域进行同步,则设置为 1。如果将 USE_NIS 设置为 1,则为 NIS_UPDATE_PATH 指定一个有效路径。

USE_SHADOW

如果使用 passwd 文件进行同步,则设置为 0;如果使用 shadow 文件进行同步,则设置为 1