本节说明如何在运行下列四种基于 UNIX 的操作系统系列中的任意一种的计算机上安装可插入身份验证模块 (PAM):
在 AIX 上安装可插入身份验证模块 (PAM)
执行下列步骤可以在运行 IBM AIX 的计算机上安装 PAM。
若要在 AIX 上安装 PAM,请执行下列操作: |
将 Windows Server(R) 2008 R2 产品光盘上 \Unix\Bins 中的 pam_sso.aix 文件复制到运行 IBM AIX 的计算机上的 /usr/lib/ 中。
将文件名更改为 pam_sso.aix.1。
在运行 AIX 的计算机上,以 root 身份登录,然后运行以下命令:
chown root /usr/lib/pam_sso.aix.1 chmod 555 /usr/lib/pam_sso.aix.1
如果需要,根据您的网络要求创建 /etc/pam.conf 文件,将所有者设置为根用户,将基础权限设置为 644。有关创建 pam.conf 文件的详细信息,请参阅 AIX 文档的 System Management Guides: Security Guide 中的“可插入身份验证模块”。
以下是一个示例 pam.conf 文件
# # Authentication management # OTHER auth required /usr/lib/security/pam_aix # # Account management # OTHER account required /usr/lib/security/pam_aix # # Session management # OTHER session required /usr/lib/security/pam_aix
使用文本编辑器打开 /etc/pam.conf。
在 Password management 部分,添加以下行:
passwd password required /usr/lib/security/pam_sso.aix.1
以下是添加了此行的示例 pam.conf 文件。
# # Authentication management # OTHER auth required /usr/lib/security/pam_aix # # Account management # OTHER account required /usr/lib/security/pam_aix # # Session management # OTHER session required /usr/lib/security/pam_aix # # Password management # passwd password required /usr/lib/security/pam_sso.aix.1
使用文本编辑器打开 /usr/lib/security/methods.cfg,并在文件结尾添加以下行:
PAM: program = /usr/lib/security/PAM
PAMfiles: options = auth=PAM,db=BUILTIN
使用文本编辑器打开 /etc/security/user,并为要同步其密码的特定用户添加身份验证信息。例如:
user1: admin = false SYSTEM = PAMfiles[*] AND "compat" registry = PAMfiles
注意 | |
可以选择更改 /etc/security/user 的 default 部分,使所有用户均可以同步其密码。在这种情况下,若要限制对“密码同步”的访问,可以在 /etc/sso.conf 文件中使用 SYNC_USERS 属性限制访问。有关详细信息,请参阅使用 sso.conf 在基于 UNIX 的计算机上配置密码同步。若要禁用 UNIX 到 Windows 的密码同步,请删除步骤 6 中在 /etc/pam.conf 中添加的条目。 |
在 HP-UX 上安装可插入身份验证模块 (PAM)
执行下列步骤可以在运行 Hewlett-Packard HP-UX 的计算机上安装 PAM。
若要在 HP-UX 上安装 PAM,请执行下列操作: |
将 Windows Server 2008 R2 产品光盘上 \Unix\Bins 中的 pam_sso.hpx 复制到 UNIX 计算机上的 /usr/lib/security 中。
将文件名更改为 pam_sso.hp.1,然后将其文件模式位设置为 544。
注意 必须将 pam_sso.hp.1 的文件模式位设置为 544 (o:r-x,g:r--,w:r--),否则将无法正常工作。
在运行 HP-UX 的计算机上,使用文本编辑器打开 /etc/pam.conf。
在 Password management 部分,找到以下行:
other password required /usr/lib/security/libpam_unix.1
在上一步找到的那一行内容后,紧接着添加以下行:
other password required /usr/lib/security/pam_sso.hp.1
注意 | |
若要禁用 UNIX 到 Windows 的密码同步,请删除步骤 5 中在 /etc/pam.conf 中添加的条目。在安装 pam_sso 模块之前,请确保在 UNIX 计算机上正确地安装并配置了 PAM 支持。 |
示例 HP-UX PAM 配置文件
以下文件示例说明了一个典型的配置。根据系统配置的不同,这些文件的实际内容可能会有所不同。
# # PAM configuration # # Authentication management # login auth required /usr/lib/security/libpam_unix.1 su auth required /usr/lib/security/libpam_unix.1 dtlogin auth required /usr/lib/security/libpam_unix.1 dtaction auth required /usr/lib/security/libpam_unix.1 ftp auth required /usr/lib/security/libpam_unix.1 OTHER auth required /usr/lib/security/libpam_unix.1 # # Account management # login account required /usr/lib/security/libpam_unix.1 su account required /usr/lib/security/libpam_unix.1 dtlogin account required /usr/lib/security/libpam_unix.1 dtaction account required /usr/lib/security/libpam_unix.1 ftp account required /usr/lib/security/libpam_unix.1 # OTHER account required /usr/lib/security/libpam_unix.1 # # Session management # login session required /usr/lib/security/libpam_unix.1 dtlogin session required /usr/lib/security/libpam_unix.1 dtaction session required /usr/lib/security/libpam_unix.1 OTHER session required /usr/lib/security/libpam_unix.1 # # Password management # login password required /usr/lib/security/libpam_unix.1 dtlogin password required /usr/lib/security/libpam_unix.1 dtaction password required /usr/lib/security/libpam_unix.1 other password required /usr/lib/security/libpam_unix.1 other password required /usr/lib/security/pam_sso.hp.1
在 Linux 上安装可插入身份验证模块 (PAM)
执行下列步骤可以在运行 Linux 的计算机上安装 PAM。
若要在 Linux 上安装 PAM,请执行下列操作: |
将 Windows Server 2008 R2 产品光盘上 \Unix\Bins 中的 pam_sso.rhl 复制到 UNIX 计算机上的 /lib/security 中,并将其名称更改为 pam_sso.so.1。
在 UNIX 计算机上,将 /etc/pam.d/system-auth 复制到 /etc/pam.d/ssod。
使用文本编辑器打开 /etc/pam.d/system-auth,并找到以下行:
password…..required…../lib/security/pam_cracklib.so…..retry=3
在上一步中的那一行内容后,添加以下行:
password required /lib/security/pam_sso.so.1
找到并删除以下行:
Password required /lib/security/pam_deny.so
保存修改的文件。
注意 | |
这些说明适用于典型的 Linux 配置。如果 PAM 支持的配置有所不同,可能必须根据特定的配置调整这些说明。若要禁用 UNIX 到 Windows 的密码同步,请删除步骤 4 中在 /etc/pam.d/system-auth 中添加的条目。在安装 pam_sso 模块之前,请确保在 UNIX 计算机上正确地安装并配置了 PAM 支持。 |
示例 Linux PAM 配置文件
以下文件示例说明了一个典型的配置。根据系统配置的不同,这些文件的实际内容可能会有所不同。
/etc/pam.d/passwd #%PAM-1.0 auth required /lib/security/pam_stack.so service=system-auth account required /lib/security/pam_stack.so service=system-auth password required /lib/security/pam_stack.so service=system-auth /etc/pam.d/ssod #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required /lib/security/pam_env.so auth sufficient /lib/security/pam_unix.so likeauth nullok auth required /lib/security/pam_deny.so account required /lib/security/pam_unix.so password required /lib/security/pam_cracklib.so retry=3 type= password sufficient /lib/security/pam_unix.so nullok use_authtok shadow password required /lib/security/pam_deny.so session required /lib/security/pam_limits.so session required /lib/security/pam_unix.so /etc/pam.d/system-auth #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required /lib/security/pam_env.so auth sufficient /lib/security/pam_unix.so likeauth nullok auth required /lib/security/pam_deny.so account required /lib/security/pam_unix.so password required /lib/security/pam_cracklib.so retry=3 type= password required /lib/security/pam_sso.so.1 password sufficient /lib/security/pam_unix.so nullok use_authtok shadow password required /lib/security/pam_deny.so session required /lib/security/pam_limits.so session required /lib/security/pam_unix.so
在 Solaris 上安装可插入身份验证模块 (PAM)
执行下列步骤可以在运行 Sun Solaris 的计算机上安装 PAM。
若要在 Solaris 上安装 PAM,请执行下列操作: |
将 Windows Server 2008 R2 产品光盘上 \Unix\Bins 文件夹中的 pam_sso.sol 复制到 UNIX 计算机上的 /usr/lib/security 目录中,并将其名称更改为 pam_sso.so.1。
在 UNIX 计算机上,使用文本编辑器打开 /etc/pam.conf。
在 Password management 部分,找到以下行:
other password required /usr/lib/security/$ISA/pam_unix.so.1
在步骤 3 中找到的那一行内容后,紧接着添加以下行:
other password required /usr/lib/security/$ISA/pam_sso.so.1
注意 | |
若要禁用 UNIX 到 Windows 的密码同步,请删除步骤 4 中在 /etc/pam.conf 中添加的条目。在安装 pam_sso 模块之前,请确保在 UNIX 计算机上正确地安装并配置了 PAM 支持。 |
示例 Solaris PAM 配置文件
以下文件示例说明了一个典型的配置。根据系统配置的不同,这些文件的实际内容可能会有所不同。
# #ident "@(#)pam.conf 1.14 99/09/16 SMI" # # Copyright (c) 1996-1999, Sun Microsystems, Inc. # All Rights Reserved. # # PAM configuration # # Authentication management # login auth required /usr/lib/security/$ISA/pam_unix.so.1 login auth required /usr/lib/security/$ISA/pam_dial_auth.so.1 # rlogin auth sufficient /usr/lib/security/$ISA/pam_rhosts_auth.so.1 rlogin auth required /usr/lib/security/$ISA/pam_unix.so.1 # dtlogin auth required /usr/lib/security/$ISA/pam_unix.so.1 # rsh auth required /usr/lib/security/$ISA/pam_rhosts_auth.so.1 other auth required /usr/lib/security/$ISA/pam_unix.so.1 # # Account management # login account requisite /usr/lib/security/$ISA/pam_roles.so.1 login account required /usr/lib/security/$ISA/pam_unix.so.1 # dtlogin account requisite /usr/lib/security/$ISA/pam_roles.so.1 dtlogin account required /usr/lib/security/$ISA/pam_unix.so.1 # other account requisite /usr/lib/security/$ISA/pam_roles.so.1 other account required /usr/lib/security/$ISA/pam_unix.so.1 # # Session management # other session required /usr/lib/security/$ISA/pam_unix.so.1 # # Password management # other password required /usr/lib/security/$ISA/pam_unix.so.1 other password required /usr/lib/security/$ISA/pam_sso.so.1 dtsession auth required /usr/lib/security/$ISA/pam_unix.so.1 # # Support for Kerberos V5 authentication (uncomment to use Kerberos) # #rlogin auth optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass #login auth optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass #dtlogin auth optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass #other auth optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass #dtlogin account optional /usr/lib/security/$ISA/pam_krb5.so.1 #other account optional /usr/lib/security/$ISA/pam_krb5.so.1 #other session optional /usr/lib/security/$ISA/pam_krb5.so.1 #other password optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass