對於執行下列四種 UNIX 作業系統系列的電腦,此章節包含在這些電腦上安裝插入式驗證模組 (PAM) 的指示:
在 AIX 上安裝插入式驗證模組 (PAM)
請執行下列步驟,在執行 IBM AIX 的電腦上安裝 PAM。
在 AIX 上安裝 PAM |
從 Windows Server(R) 2008 R2 產品光碟的 \Unix\Bins 中,將 pam_sso.aix 檔案複製到執行 IBM AIX 之電腦的 /usr/lib/。
將檔案名稱變更為 pam_sso.aix.1。
在執行 AIX 的電腦上,以 root 身分登入,然後執行下列命令:
chown root /usr/lib/pam_sso.aix.1 chmod 555 /usr/lib/pam_sso.aix.1
必要時,請根據網路需求來建立 /etc/pam.conf 檔案,將擁有者設為 root,並將基本權限設為 644。如需建立 pam.conf 檔案的相關資訊,請參閱 AIX 說明文件之《System Management Guides: Security Guide》中的<插入式驗證模組>。
下列是 pam.conf 範例檔
# # Authentication management # OTHER auth required /usr/lib/security/pam_aix # # Account management # OTHER account required /usr/lib/security/pam_aix # # Session management # OTHER session required /usr/lib/security/pam_aix
使用文字編輯器開啟 /etc/pam.conf。
在 [Password management] 區段中,新增下面這一行:
passwd password required /usr/lib/security/pam_sso.aix.1
下列是新增此行之後的 pam.conf 範例檔。
# # Authentication management # OTHER auth required /usr/lib/security/pam_aix # # Account management # OTHER account required /usr/lib/security/pam_aix # # Session management # OTHER session required /usr/lib/security/pam_aix # # Password management # passwd password required /usr/lib/security/pam_sso.aix.1
使用文字編輯器開啟 /usr/lib/security/methods.cfg,在檔案結尾新增下列幾行:
PAM: program = /usr/lib/security/PAM
PAMfiles: options = auth=PAM,db=BUILTIN
使用文字編輯器開啟 /etc/security/user,為您要同步密碼的特定使用者新增驗證資訊。例如:
user1: admin = false SYSTEM = PAMfiles[*] AND "compat" registry = PAMfiles
附註 | |
您可以選擇變更 /etc/security/user 的預設區段,允許所有使用者同步密碼。在這種情況下,若要限制對密碼同步化的存取,您可以在 /etc/sso.conf 檔案中使用 SYNC_USERS 屬性來限制存取。如需相關資訊,請參閱在 UNIX 電腦上使用 sso.conf 來設定密碼同步化。若要停用 UNIX 至 Windows 密碼同步化,請在 /etc/pam.conf 中移除您在步驟 6 所新增的項目。 |
在 HP-UX 上安裝插入式驗證模組 (PAM)
請執行下列步驟,在執行 Hewlett-Packard HP-UX 的電腦上安裝 PAM。
在 HP-UX 上安裝 PAM |
從 Windows Server 2008 R2 產品光碟的 \Unix\Bins 中,將 pam_sso.hpx 複製到 UNIX 電腦上的 /usr/lib/security。
將檔案名稱變更為 pam_sso.hp.1,然後將檔案模式位元設為 544。
附註 pam_sso.hp.1 的檔案模式位元必須設為 544 (o:r-x,g:r--,w:r--),否則無法正常使用。
在執行 HP-UX 的電腦上,使用文字編輯器開啟 /etc/pam.conf。
在 [Password management] 區段中,找出下面這一行:
other password required /usr/lib/security/libpam_unix.1
在上一步所找到的那一行後面,新增下面這一行:
other password required /usr/lib/security/pam_sso.hp.1
附註 | |
若要停用 UNIX 至 Windows 密碼同步化,請在 /etc/pam.conf 中移除您在步驟 5 所新增的項目。在安裝 pam_sso 模組之前,請確定 UNIX 電腦上已正確安裝和設定 PAM 支援。 |
HP-UX PAM 設定檔範例
下列檔案範例顯示一般設定。視您的系統設定而定,這些檔案的實際內容可能有所不同。
# # PAM configuration # # Authentication management # login auth required /usr/lib/security/libpam_unix.1 su auth required /usr/lib/security/libpam_unix.1 dtlogin auth required /usr/lib/security/libpam_unix.1 dtaction auth required /usr/lib/security/libpam_unix.1 ftp auth required /usr/lib/security/libpam_unix.1 OTHER auth required /usr/lib/security/libpam_unix.1 # # Account management # login account required /usr/lib/security/libpam_unix.1 su account required /usr/lib/security/libpam_unix.1 dtlogin account required /usr/lib/security/libpam_unix.1 dtaction account required /usr/lib/security/libpam_unix.1 ftp account required /usr/lib/security/libpam_unix.1 # OTHER account required /usr/lib/security/libpam_unix.1 # # Session management # login session required /usr/lib/security/libpam_unix.1 dtlogin session required /usr/lib/security/libpam_unix.1 dtaction session required /usr/lib/security/libpam_unix.1 OTHER session required /usr/lib/security/libpam_unix.1 # # Password management # login password required /usr/lib/security/libpam_unix.1 dtlogin password required /usr/lib/security/libpam_unix.1 dtaction password required /usr/lib/security/libpam_unix.1 other password required /usr/lib/security/libpam_unix.1 other password required /usr/lib/security/pam_sso.hp.1
在 Linux 上安裝插入式驗證模組 (PAM)
請執行下列步驟,在執行 Linux 的電腦上安裝 PAM。
在 Linux 上安裝 PAM |
從 Windows Server 2008 R2 產品光碟的 \Unix\Bins 中,將 pam_sso.rhl 複製到 UNIX 電腦上的 /lib/security,然後將名稱變更為 pam_sso.so.1。
在 UNIX 電腦上,將 /etc/pam.d/system-auth 複製到 /etc/pam.d/ssod。
使用文字編輯器開啟 /etc/pam.d/system-auth,找出下面這一行:
password…..required…../lib/security/pam_cracklib.so…..retry=3
在上一步所找到那一行後面,新增下面這一行:
password required /lib/security/pam_sso.so.1
尋找並刪除下面這一行:
Password required /lib/security/pam_deny.so
儲存修改的檔案。
附註 | |
這些指示適用於一般 Linux 設定。如果您以不同方式設定 PAM 支援,則可能需要根據您的特定設定來調整這些指示。若要停用 UNIX 至 Windows 密碼同步化,請在 /etc/pam.d/system-auth 中移除您在步驟 4 所新增的項目。在安裝 pam_sso 模組之前,請確定 UNIX 電腦上已正確安裝和設定 PAM 支援。 |
Linux PAM 設定檔範例
下列檔案範例顯示一般設定。視您的系統設定而定,這些檔案的實際內容可能有所不同。
/etc/pam.d/passwd #%PAM-1.0 auth required /lib/security/pam_stack.so service=system-auth account required /lib/security/pam_stack.so service=system-auth password required /lib/security/pam_stack.so service=system-auth /etc/pam.d/ssod #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required /lib/security/pam_env.so auth sufficient /lib/security/pam_unix.so likeauth nullok auth required /lib/security/pam_deny.so account required /lib/security/pam_unix.so password required /lib/security/pam_cracklib.so retry=3 type= password sufficient /lib/security/pam_unix.so nullok use_authtok shadow password required /lib/security/pam_deny.so session required /lib/security/pam_limits.so session required /lib/security/pam_unix.so /etc/pam.d/system-auth #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required /lib/security/pam_env.so auth sufficient /lib/security/pam_unix.so likeauth nullok auth required /lib/security/pam_deny.so account required /lib/security/pam_unix.so password required /lib/security/pam_cracklib.so retry=3 type= password required /lib/security/pam_sso.so.1 password sufficient /lib/security/pam_unix.so nullok use_authtok shadow password required /lib/security/pam_deny.so session required /lib/security/pam_limits.so session required /lib/security/pam_unix.so
在 Solaris 上安裝插入式驗證模組 (PAM)
請執行下列步驟,在執行 Sun Solaris 的電腦上安裝 PAM。
在 Solaris 上安裝 PAM |
從 Windows Server 2008 R2 產品光碟的 \Unix\Bins 資料夾中,將 pam_sso.sol 複製到 UNIX 電腦上的 /usr/lib/security 目錄,然後將名稱變更為 pam_sso.so.1。
在 UNIX 電腦上,使用文字編輯器開啟 /etc/pam.conf。
在 [Password management] 區段中,找出下面這一行:
other password required /usr/lib/security/$ISA/pam_unix.so.1
在步驟 3 所找到的那一行後面,新增下面這一行:
other password required /usr/lib/security/$ISA/pam_sso.so.1
附註 | |
若要停用 UNIX 至 Windows 密碼同步化,請在 /etc/pam.conf 中移除您在步驟 4 所新增的項目。在安裝 pam_sso 模組之前,請確定 UNIX 電腦上已正確安裝和設定 PAM 支援。 |
Solaris PAM 設定檔範例
下列檔案範例顯示一般設定。視您的系統設定而定,這些檔案的實際內容可能有所不同。
# #ident "@(#)pam.conf 1.14 99/09/16 SMI" # # Copyright (c) 1996-1999, Sun Microsystems, Inc. # All Rights Reserved. # # PAM configuration # # Authentication management # login auth required /usr/lib/security/$ISA/pam_unix.so.1 login auth required /usr/lib/security/$ISA/pam_dial_auth.so.1 # rlogin auth sufficient /usr/lib/security/$ISA/pam_rhosts_auth.so.1 rlogin auth required /usr/lib/security/$ISA/pam_unix.so.1 # dtlogin auth required /usr/lib/security/$ISA/pam_unix.so.1 # rsh auth required /usr/lib/security/$ISA/pam_rhosts_auth.so.1 other auth required /usr/lib/security/$ISA/pam_unix.so.1 # # Account management # login account requisite /usr/lib/security/$ISA/pam_roles.so.1 login account required /usr/lib/security/$ISA/pam_unix.so.1 # dtlogin account requisite /usr/lib/security/$ISA/pam_roles.so.1 dtlogin account required /usr/lib/security/$ISA/pam_unix.so.1 # other account requisite /usr/lib/security/$ISA/pam_roles.so.1 other account required /usr/lib/security/$ISA/pam_unix.so.1 # # Session management # other session required /usr/lib/security/$ISA/pam_unix.so.1 # # Password management # other password required /usr/lib/security/$ISA/pam_unix.so.1 other password required /usr/lib/security/$ISA/pam_sso.so.1 dtsession auth required /usr/lib/security/$ISA/pam_unix.so.1 # # Support for Kerberos V5 authentication (uncomment to use Kerberos) # #rlogin auth optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass #login auth optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass #dtlogin auth optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass #other auth optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass #dtlogin account optional /usr/lib/security/$ISA/pam_krb5.so.1 #other account optional /usr/lib/security/$ISA/pam_krb5.so.1 #other session optional /usr/lib/security/$ISA/pam_krb5.so.1 #other password optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass