對於執行下列四種 UNIX 作業系統系列的電腦,此章節包含在這些電腦上安裝插入式驗證模組 (PAM) 的指示:

在 AIX 上安裝插入式驗證模組 (PAM)

請執行下列步驟,在執行 IBM AIX 的電腦上安裝 PAM。

在 AIX 上安裝 PAM

  1. 從 Windows Server(R) 2008 R2 產品光碟的 \Unix\Bins 中,將 pam_sso.aix 檔案複製到執行 IBM AIX 之電腦的 /usr/lib/。

  2. 將檔案名稱變更為 pam_sso.aix.1。

  3. 在執行 AIX 的電腦上,以 root 身分登入,然後執行下列命令:

    chown root /usr/lib/pam_sso.aix.1 chmod 555 /usr/lib/pam_sso.aix.1

  4. 必要時,請根據網路需求來建立 /etc/pam.conf 檔案,將擁有者設為 root,並將基本權限設為 644。如需建立 pam.conf 檔案的相關資訊,請參閱 AIX 說明文件之《System Management Guides: Security Guide》中的<插入式驗證模組>。

    下列是 pam.conf 範例檔

     

    #
# Authentication management
#
OTHER   auth     required       /usr/lib/security/pam_aix

#
# Account management
#
OTHER   account  required       /usr/lib/security/pam_aix

#
# Session management
#
OTHER   session  required       /usr/lib/security/pam_aix

  5. 使用文字編輯器開啟 /etc/pam.conf。

  6. [Password management] 區段中,新增下面這一行:

    passwd password required /usr/lib/security/pam_sso.aix.1

    下列是新增此行之後的 pam.conf 範例檔。

     

    #
# Authentication management
#
OTHER   auth     required       /usr/lib/security/pam_aix

#
# Account management
#
OTHER   account  required       /usr/lib/security/pam_aix

#
# Session management
#
OTHER   session  required       /usr/lib/security/pam_aix

#
# Password management
#
passwd   password required       /usr/lib/security/pam_sso.aix.1

  7. 使用文字編輯器開啟 /usr/lib/security/methods.cfg,在檔案結尾新增下列幾行:

    PAM:    program = /usr/lib/security/PAM

    PAMfiles:    options = auth=PAM,db=BUILTIN

  8. 使用文字編輯器開啟 /etc/security/user,為您要同步密碼的特定使用者新增驗證資訊。例如:

    user1:    admin = false    SYSTEM = PAMfiles[*] AND "compat"    registry = PAMfiles
附註

您可以選擇變更 /etc/security/user 的預設區段,允許所有使用者同步密碼。在這種情況下,若要限制對密碼同步化的存取,您可以在 /etc/sso.conf 檔案中使用 SYNC_USERS 屬性來限制存取。如需相關資訊,請參閱在 UNIX 電腦上使用 sso.conf 來設定密碼同步化。若要停用 UNIX 至 Windows 密碼同步化,請在 /etc/pam.conf 中移除您在步驟 6 所新增的項目。

在 HP-UX 上安裝插入式驗證模組 (PAM)

請執行下列步驟,在執行 Hewlett-Packard HP-UX 的電腦上安裝 PAM。

在 HP-UX 上安裝 PAM

  1. 從 Windows Server 2008 R2 產品光碟的 \Unix\Bins 中,將 pam_sso.hpx 複製到 UNIX 電腦上的 /usr/lib/security。

  2. 將檔案名稱變更為 pam_sso.hp.1,然後將檔案模式位元設為 544。

    附註

    pam_sso.hp.1 的檔案模式位元必須設為 544 (o:r-x,g:r--,w:r--),否則無法正常使用。

  3. 在執行 HP-UX 的電腦上,使用文字編輯器開啟 /etc/pam.conf。

  4. [Password management] 區段中,找出下面這一行:

    other    password required      /usr/lib/security/libpam_unix.1

  5. 在上一步所找到的那一行後面,新增下面這一行:

    other password required /usr/lib/security/pam_sso.hp.1
附註

若要停用 UNIX 至 Windows 密碼同步化,請在 /etc/pam.conf 中移除您在步驟 5 所新增的項目。在安裝 pam_sso 模組之前,請確定 UNIX 電腦上已正確安裝和設定 PAM 支援。

HP-UX PAM 設定檔範例

下列檔案範例顯示一般設定。視您的系統設定而定,這些檔案的實際內容可能有所不同。

#
# PAM configuration
#
# Authentication management
#
login    auth required  /usr/lib/security/libpam_unix.1
su       auth required  /usr/lib/security/libpam_unix.1
dtlogin  auth required  /usr/lib/security/libpam_unix.1
dtaction auth required  /usr/lib/security/libpam_unix.1
ftp      auth required  /usr/lib/security/libpam_unix.1
OTHER    auth required  /usr/lib/security/libpam_unix.1
#
# Account management
#
login    account required       /usr/lib/security/libpam_unix.1
su       account required       /usr/lib/security/libpam_unix.1
dtlogin  account required       /usr/lib/security/libpam_unix.1
dtaction account required       /usr/lib/security/libpam_unix.1
ftp      account required       /usr/lib/security/libpam_unix.1
#
OTHER    account required       /usr/lib/security/libpam_unix.1
#
# Session management
#
login    session required       /usr/lib/security/libpam_unix.1
dtlogin  session required       /usr/lib/security/libpam_unix.1
dtaction session required       /usr/lib/security/libpam_unix.1
OTHER    session required       /usr/lib/security/libpam_unix.1
#
# Password management
#
login    password required      /usr/lib/security/libpam_unix.1
dtlogin  password required      /usr/lib/security/libpam_unix.1
dtaction password required      /usr/lib/security/libpam_unix.1
other    password required      /usr/lib/security/libpam_unix.1
other    password required      /usr/lib/security/pam_sso.hp.1

在 Linux 上安裝插入式驗證模組 (PAM)

請執行下列步驟,在執行 Linux 的電腦上安裝 PAM。

在 Linux 上安裝 PAM

  1. 從 Windows Server 2008 R2 產品光碟的 \Unix\Bins 中,將 pam_sso.rhl 複製到 UNIX 電腦上的 /lib/security,然後將名稱變更為 pam_sso.so.1。

  2. 在 UNIX 電腦上,將 /etc/pam.d/system-auth 複製到 /etc/pam.d/ssod。

  3. 使用文字編輯器開啟 /etc/pam.d/system-auth,找出下面這一行: 

    password…..required…../lib/security/pam_cracklib.so…..retry=3

  4. 在上一步所找到那一行後面,新增下面這一行:

    password required /lib/security/pam_sso.so.1

  5. 尋找並刪除下面這一行: 

    Password    required    /lib/security/pam_deny.so

  6. 儲存修改的檔案。
附註

這些指示適用於一般 Linux 設定。如果您以不同方式設定 PAM 支援,則可能需要根據您的特定設定來調整這些指示。若要停用 UNIX 至 Windows 密碼同步化,請在 /etc/pam.d/system-auth 中移除您在步驟 4 所新增的項目。在安裝 pam_sso 模組之前,請確定 UNIX 電腦上已正確安裝和設定 PAM 支援。

Linux PAM 設定檔範例

下列檔案範例顯示一般設定。視您的系統設定而定,這些檔案的實際內容可能有所不同。 

/etc/pam.d/passwd

#%PAM-1.0
auth       required     /lib/security/pam_stack.so service=system-auth
account    required     /lib/security/pam_stack.so service=system-auth
password   required     /lib/security/pam_stack.so service=system-auth


/etc/pam.d/ssod

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      /lib/security/pam_env.so
auth        sufficient    /lib/security/pam_unix.so likeauth nullok
auth        required      /lib/security/pam_deny.so

account     required      /lib/security/pam_unix.so

password    required      /lib/security/pam_cracklib.so retry=3 type=
password    sufficient    /lib/security/pam_unix.so nullok use_authtok shadow
password    required      /lib/security/pam_deny.so

session     required      /lib/security/pam_limits.so
session     required      /lib/security/pam_unix.so


/etc/pam.d/system-auth

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      /lib/security/pam_env.so
auth        sufficient    /lib/security/pam_unix.so likeauth nullok
auth        required      /lib/security/pam_deny.so

account     required      /lib/security/pam_unix.so

password    required      /lib/security/pam_cracklib.so retry=3 type=
password    required      /lib/security/pam_sso.so.1
password    sufficient    /lib/security/pam_unix.so nullok use_authtok shadow
password    required      /lib/security/pam_deny.so

session     required      /lib/security/pam_limits.so
session     required      /lib/security/pam_unix.so

在 Solaris 上安裝插入式驗證模組 (PAM)

請執行下列步驟,在執行 Sun Solaris 的電腦上安裝 PAM。

在 Solaris 上安裝 PAM

  1. 從 Windows Server 2008 R2 產品光碟的 \Unix\Bins 資料夾中,將 pam_sso.sol 複製到 UNIX 電腦上的 /usr/lib/security 目錄,然後將名稱變更為 pam_sso.so.1。

  2. 在 UNIX 電腦上,使用文字編輯器開啟 /etc/pam.conf。

  3. [Password management] 區段中,找出下面這一行: 

    other password required /usr/lib/security/$ISA/pam_unix.so.1

  4. 在步驟 3 所找到的那一行後面,新增下面這一行:

    other password required /usr/lib/security/$ISA/pam_sso.so.1
附註

若要停用 UNIX 至 Windows 密碼同步化,請在 /etc/pam.conf 中移除您在步驟 4 所新增的項目。在安裝 pam_sso 模組之前,請確定 UNIX 電腦上已正確安裝和設定 PAM 支援。

Solaris PAM 設定檔範例

下列檔案範例顯示一般設定。視您的系統設定而定,這些檔案的實際內容可能有所不同。

#
#ident  "@(#)pam.conf   1.14    99/09/16 SMI"
#
# Copyright (c) 1996-1999, Sun Microsystems, Inc.
# All Rights Reserved.
#
# PAM configuration
#
# Authentication management
#
login   auth required   /usr/lib/security/$ISA/pam_unix.so.1
login   auth required   /usr/lib/security/$ISA/pam_dial_auth.so.1
#
rlogin  auth sufficient /usr/lib/security/$ISA/pam_rhosts_auth.so.1
rlogin  auth required   /usr/lib/security/$ISA/pam_unix.so.1
#
dtlogin auth required   /usr/lib/security/$ISA/pam_unix.so.1
#
rsh     auth required   /usr/lib/security/$ISA/pam_rhosts_auth.so.1
other   auth required   /usr/lib/security/$ISA/pam_unix.so.1
#
# Account management
#
login   account requisite       /usr/lib/security/$ISA/pam_roles.so.1
login   account required        /usr/lib/security/$ISA/pam_unix.so.1
#
dtlogin account requisite       /usr/lib/security/$ISA/pam_roles.so.1
dtlogin account required        /usr/lib/security/$ISA/pam_unix.so.1
#
other   account requisite       /usr/lib/security/$ISA/pam_roles.so.1
other   account required        /usr/lib/security/$ISA/pam_unix.so.1
#
# Session management
#
other   session required        /usr/lib/security/$ISA/pam_unix.so.1
#
# Password management
#

other   password required       /usr/lib/security/$ISA/pam_unix.so.1
other  password required        /usr/lib/security/$ISA/pam_sso.so.1
dtsession auth required /usr/lib/security/$ISA/pam_unix.so.1

#
# Support for Kerberos V5 authentication (uncomment to use Kerberos)
#
#rlogin auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#login  auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#dtlogin        auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#other  auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#dtlogin        account optional /usr/lib/security/$ISA/pam_krb5.so.1
#other  account optional /usr/lib/security/$ISA/pam_krb5.so.1
#other  session optional /usr/lib/security/$ISA/pam_krb5.so.1
#other  password optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass

目錄