本节说明如何在运行下列四种基于 UNIX 的操作系统系列中的任意一种的计算机上安装可插入身份验证模块 (PAM):

在 AIX 上安装可插入身份验证模块 (PAM)

执行下列步骤可以在运行 IBM AIX 的计算机上安装 PAM。

若要在 AIX 上安装 PAM,请执行下列操作:
  1. 将 Windows Server(R) 2008 R2 产品光盘上 \Unix\Bins 中的 pam_sso.aix 文件复制到运行 IBM AIX 的计算机上的 /usr/lib/ 中。

  2. 将文件名更改为 pam_sso.aix.1。

  3. 在运行 AIX 的计算机上,以 root 身份登录,然后运行以下命令:

    chown root /usr/lib/pam_sso.aix.1 chmod 555 /usr/lib/pam_sso.aix.1

  4. 如果需要,根据您的网络要求创建 /etc/pam.conf 文件,将所有者设置为根用户,将基础权限设置为 644。有关创建 pam.conf 文件的详细信息,请参阅 AIX 文档的 System Management Guides: Security Guide 中的“可插入身份验证模块”。

    以下是一个示例 pam.conf 文件

     

    #
    # Authentication management
    #
    OTHER   auth     required       /usr/lib/security/pam_aix
    
    #
    # Account management
    #
    OTHER   account  required       /usr/lib/security/pam_aix
    
    #
    # Session management
    #
    OTHER   session  required       /usr/lib/security/pam_aix
    
  5. 使用文本编辑器打开 /etc/pam.conf。

  6. Password management 部分,添加以下行:

    passwd password required /usr/lib/security/pam_sso.aix.1

    以下是添加了此行的示例 pam.conf 文件。

     

    #
    # Authentication management
    #
    OTHER   auth     required       /usr/lib/security/pam_aix
    
    #
    # Account management
    #
    OTHER   account  required       /usr/lib/security/pam_aix
    
    #
    # Session management
    #
    OTHER   session  required       /usr/lib/security/pam_aix
    
    #
    # Password management
    #
    passwd   password required       /usr/lib/security/pam_sso.aix.1
  7. 使用文本编辑器打开 /usr/lib/security/methods.cfg,并在文件结尾添加以下行:

    PAM:    program = /usr/lib/security/PAM

    PAMfiles:    options = auth=PAM,db=BUILTIN

  8. 使用文本编辑器打开 /etc/security/user,并为要同步其密码的特定用户添加身份验证信息。例如:

    user1:    admin = false    SYSTEM = PAMfiles[*] AND "compat"    registry = PAMfiles
注意

可以选择更改 /etc/security/user 的 default 部分,使所有用户均可以同步其密码。在这种情况下,若要限制对“密码同步”的访问,可以在 /etc/sso.conf 文件中使用 SYNC_USERS 属性限制访问。有关详细信息,请参阅使用 sso.conf 在基于 UNIX 的计算机上配置密码同步。若要禁用 UNIX 到 Windows 的密码同步,请删除步骤 6 中在 /etc/pam.conf 中添加的条目。

在 HP-UX 上安装可插入身份验证模块 (PAM)

执行下列步骤可以在运行 Hewlett-Packard HP-UX 的计算机上安装 PAM。

若要在 HP-UX 上安装 PAM,请执行下列操作:
  1. 将 Windows Server 2008 R2 产品光盘上 \Unix\Bins 中的 pam_sso.hpx 复制到 UNIX 计算机上的 /usr/lib/security 中。

  2. 将文件名更改为 pam_sso.hp.1,然后将其文件模式位设置为 544。

    注意

    必须将 pam_sso.hp.1 的文件模式位设置为 544 (o:r-x,g:r--,w:r--),否则将无法正常工作。

  3. 在运行 HP-UX 的计算机上,使用文本编辑器打开 /etc/pam.conf。

  4. Password management 部分,找到以下行:

    other    password required      /usr/lib/security/libpam_unix.1
  5. 在上一步找到的那一行内容后,紧接着添加以下行:

    other password required /usr/lib/security/pam_sso.hp.1

注意

若要禁用 UNIX 到 Windows 的密码同步,请删除步骤 5 中在 /etc/pam.conf 中添加的条目。在安装 pam_sso 模块之前,请确保在 UNIX 计算机上正确地安装并配置了 PAM 支持。

示例 HP-UX PAM 配置文件

以下文件示例说明了一个典型的配置。根据系统配置的不同,这些文件的实际内容可能会有所不同。

#
# PAM configuration
#
# Authentication management
#
login    auth required  /usr/lib/security/libpam_unix.1
su       auth required  /usr/lib/security/libpam_unix.1
dtlogin  auth required  /usr/lib/security/libpam_unix.1
dtaction auth required  /usr/lib/security/libpam_unix.1
ftp      auth required  /usr/lib/security/libpam_unix.1
OTHER    auth required  /usr/lib/security/libpam_unix.1
#
# Account management
#
login    account required       /usr/lib/security/libpam_unix.1
su       account required       /usr/lib/security/libpam_unix.1
dtlogin  account required       /usr/lib/security/libpam_unix.1
dtaction account required       /usr/lib/security/libpam_unix.1
ftp      account required       /usr/lib/security/libpam_unix.1
#
OTHER    account required       /usr/lib/security/libpam_unix.1
#
# Session management
#
login    session required       /usr/lib/security/libpam_unix.1
dtlogin  session required       /usr/lib/security/libpam_unix.1
dtaction session required       /usr/lib/security/libpam_unix.1
OTHER    session required       /usr/lib/security/libpam_unix.1
#
# Password management
#
login    password required      /usr/lib/security/libpam_unix.1
dtlogin  password required      /usr/lib/security/libpam_unix.1
dtaction password required      /usr/lib/security/libpam_unix.1
other    password required      /usr/lib/security/libpam_unix.1
other    password required      /usr/lib/security/pam_sso.hp.1

在 Linux 上安装可插入身份验证模块 (PAM)

执行下列步骤可以在运行 Linux 的计算机上安装 PAM。

若要在 Linux 上安装 PAM,请执行下列操作:
  1. 将 Windows Server 2008 R2 产品光盘上 \Unix\Bins 中的 pam_sso.rhl 复制到 UNIX 计算机上的 /lib/security 中,并将其名称更改为 pam_sso.so.1。

  2. 在 UNIX 计算机上,将 /etc/pam.d/system-auth 复制到 /etc/pam.d/ssod。

  3. 使用文本编辑器打开 /etc/pam.d/system-auth,并找到以下行:

    password…..required…../lib/security/pam_cracklib.so…..retry=3
  4. 在上一步中的那一行内容后,添加以下行:

    password required /lib/security/pam_sso.so.1

  5. 找到并删除以下行:

    Password    required    /lib/security/pam_deny.so
  6. 保存修改的文件。

注意

这些说明适用于典型的 Linux 配置。如果 PAM 支持的配置有所不同,可能必须根据特定的配置调整这些说明。若要禁用 UNIX 到 Windows 的密码同步,请删除步骤 4 中在 /etc/pam.d/system-auth 中添加的条目。在安装 pam_sso 模块之前,请确保在 UNIX 计算机上正确地安装并配置了 PAM 支持。

示例 Linux PAM 配置文件

以下文件示例说明了一个典型的配置。根据系统配置的不同,这些文件的实际内容可能会有所不同。

/etc/pam.d/passwd

#%PAM-1.0
auth       required     /lib/security/pam_stack.so service=system-auth
account    required     /lib/security/pam_stack.so service=system-auth
password   required     /lib/security/pam_stack.so service=system-auth


/etc/pam.d/ssod

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      /lib/security/pam_env.so
auth        sufficient    /lib/security/pam_unix.so likeauth nullok
auth        required      /lib/security/pam_deny.so

account     required      /lib/security/pam_unix.so

password    required      /lib/security/pam_cracklib.so retry=3 type=
password    sufficient    /lib/security/pam_unix.so nullok use_authtok shadow
password    required      /lib/security/pam_deny.so

session     required      /lib/security/pam_limits.so
session     required      /lib/security/pam_unix.so


/etc/pam.d/system-auth

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      /lib/security/pam_env.so
auth        sufficient    /lib/security/pam_unix.so likeauth nullok
auth        required      /lib/security/pam_deny.so

account     required      /lib/security/pam_unix.so

password    required      /lib/security/pam_cracklib.so retry=3 type=
password    required      /lib/security/pam_sso.so.1
password    sufficient    /lib/security/pam_unix.so nullok use_authtok shadow
password    required      /lib/security/pam_deny.so

session     required      /lib/security/pam_limits.so
session     required      /lib/security/pam_unix.so

在 Solaris 上安装可插入身份验证模块 (PAM)

执行下列步骤可以在运行 Sun Solaris 的计算机上安装 PAM。

若要在 Solaris 上安装 PAM,请执行下列操作:
  1. 将 Windows Server 2008 R2 产品光盘上 \Unix\Bins 文件夹中的 pam_sso.sol 复制到 UNIX 计算机上的 /usr/lib/security 目录中,并将其名称更改为 pam_sso.so.1。

  2. 在 UNIX 计算机上,使用文本编辑器打开 /etc/pam.conf。

  3. Password management 部分,找到以下行:

    other password required /usr/lib/security/$ISA/pam_unix.so.1
  4. 在步骤 3 中找到的那一行内容后,紧接着添加以下行:

    other password required /usr/lib/security/$ISA/pam_sso.so.1

注意

若要禁用 UNIX 到 Windows 的密码同步,请删除步骤 4 中在 /etc/pam.conf 中添加的条目。在安装 pam_sso 模块之前,请确保在 UNIX 计算机上正确地安装并配置了 PAM 支持。

示例 Solaris PAM 配置文件

以下文件示例说明了一个典型的配置。根据系统配置的不同,这些文件的实际内容可能会有所不同。

#
#ident  "@(#)pam.conf   1.14    99/09/16 SMI"
#
# Copyright (c) 1996-1999, Sun Microsystems, Inc.
# All Rights Reserved.
#
# PAM configuration
#
# Authentication management
#
login   auth required   /usr/lib/security/$ISA/pam_unix.so.1
login   auth required   /usr/lib/security/$ISA/pam_dial_auth.so.1
#
rlogin  auth sufficient /usr/lib/security/$ISA/pam_rhosts_auth.so.1
rlogin  auth required   /usr/lib/security/$ISA/pam_unix.so.1
#
dtlogin auth required   /usr/lib/security/$ISA/pam_unix.so.1
#
rsh     auth required   /usr/lib/security/$ISA/pam_rhosts_auth.so.1
other   auth required   /usr/lib/security/$ISA/pam_unix.so.1
#
# Account management
#
login   account requisite       /usr/lib/security/$ISA/pam_roles.so.1
login   account required        /usr/lib/security/$ISA/pam_unix.so.1
#
dtlogin account requisite       /usr/lib/security/$ISA/pam_roles.so.1
dtlogin account required        /usr/lib/security/$ISA/pam_unix.so.1
#
other   account requisite       /usr/lib/security/$ISA/pam_roles.so.1
other   account required        /usr/lib/security/$ISA/pam_unix.so.1
#
# Session management
#
other   session required        /usr/lib/security/$ISA/pam_unix.so.1
#
# Password management
#

other   password required       /usr/lib/security/$ISA/pam_unix.so.1
other  password required        /usr/lib/security/$ISA/pam_sso.so.1
dtsession auth required /usr/lib/security/$ISA/pam_unix.so.1

#
# Support for Kerberos V5 authentication (uncomment to use Kerberos)
#
#rlogin auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#login  auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#dtlogin        auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#other  auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#dtlogin        account optional /usr/lib/security/$ISA/pam_krb5.so.1
#other  account optional /usr/lib/security/$ISA/pam_krb5.so.1
#other  session optional /usr/lib/security/$ISA/pam_krb5.so.1
#other  password optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass