В этом разделе содержатся инструкции по установке подключаемого модуля проверки подлинности (PAM) на компьютеры под управлением следующих семейств ОС на базе UNIX:

Установка подключаемого модуля проверки подлинности (PAM) на компьютеры с ОС AIX

Чтобы установить PAM на компьютеры под управлением IBM AIX, выполните описанные ниже действия.

Установка PAM на компьютер с операционной системой AIX
  1. Скопируйте файл pam_sso.aix из каталога \Unix\Bins на компакт-диске Windows Server® 2008 R2 в каталог /usr/lib/ на компьютере, работающем под управлением IBM AIX.

  2. Измените имя файла на pam_sso.aix.1.

  3. Войдите в систему компьютера, работающего под управлением AIX, с помощью учетной записи root и затем выполните следующую команду:

    chown root /usr/lib/pam_sso.aix.1 chmod 555 /usr/lib/pam_sso.aix.1

  4. При необходимости создайте файл /etc/pam.conf в соответствии с требованиями сети, укажите в качестве владельца файла учетную запись root, а в качестве разрешений укажите значение 644. Дополнительные сведения о том, как создать файл pam.conf, см. в разделе «Подключаемые модули проверки подлинности» руководства System Management Guides: Security Guide в документации к AIX.

    Далее приведен образец файла pam.conf.

     

    #
    # Authentication management
    #
    OTHER   auth	 required	 /usr/lib/security/pam_aix
    
    #
    # Account management
    #
    OTHER   account  required	 /usr/lib/security/pam_aix
    
    #
    # Session management
    #
    OTHER   session  required	 /usr/lib/security/pam_aix
    
  5. Откройте файл /etc/pam.conf в текстовом редакторе.

  6. Добавьте в раздел Управление паролями следующую строку:

    passwd password required /usr/lib/security/pam_sso.aix.1

    Далее приведен образец файла pam.conf с добавленной строкой.

     

    #
    # Authentication management
    #
    OTHER   auth	 required	 /usr/lib/security/pam_aix
    
    #
    # Account management
    #
    OTHER   account  required	 /usr/lib/security/pam_aix
    
    #
    # Session management
    #
    OTHER   session  required	 /usr/lib/security/pam_aix
    
    #
    # Password management
    #
    passwd   password required	 /usr/lib/security/pam_sso.aix.1
    
  7. Откройте файл /usr/lib/security/methods.cfg в текстовом редакторе и добавьте следующие строки в конце этого файла:

    PAM:    program = /usr/lib/security/PAM

    PAMfiles:    options = auth=PAM,db=BUILTIN

  8. Откройте файл /etc/security/user в текстовом редакторе и добавьте сведения о проверке подлинности для тех пользователей, пароли которых необходимо синхронизировать. Пример:

    user1:	admin = false	SYSTEM = PAMfiles[*] AND "compat"	registry = PAMfiles
    
Примечание

Чтобы разрешить всем пользователям синхронизировать свои пароли, можно изменить раздел по умолчанию файла /etc/security/user. В этом случае для ограничения доступа к службе синхронизации паролей можно использовать атрибут SYNC_USERS файла /etc/sso.conf. Дополнительные сведения см. в разделе Использование файла sso.conf для настройки синхронизации паролей на компьютерах UNIX. Чтобы отключить синхронизацию паролей из UNIX в Windows, удалите из файла /etc/pam.conf запись, которая была добавлена в шаге 6.

Установка подключаемого модуля проверки подлинности (PAM) на компьютеры с ОС HP-UX

Чтобы установить PAM на компьютеры под управлением Hewlett-Packard HP-UX, выполните описанные ниже действия.

Установка PAM на компьютер с операционной системой HP-UX
  1. Скопируйте файл pam_sso.hpx из каталога \Unix\Bins на компакт-диске Windows Server 2008 R2 в каталог /usr/lib/security на компьютере UNIX.

  2. Измените имя файла на pam_sso.hp.1 и затем установите для битов файлового режима значение 544.

    Примечание

    Для битов файлового режима файла pam_sso.hp.1 необходимо установить значение 544 (o:r-x,g:r--,w:r--); в противном случае его правильная работа обеспечена не будет.

  3. Откройте файл /etc/pam.conf в текстовом редакторе на компьютере под управлением ОС HP-UX.

  4. В разделе Управление паролями найдите следующую строку:

    other	password required	/usr/lib/security/libpam_unix.1
    
  5. Под строкой, найденной в предыдущем шаге, добавьте следующую строку:

    other password required /usr/lib/security/pam_sso.hp.1

Примечание

Чтобы отключить синхронизацию паролей из UNIX в Windows, удалите из файла /etc/pam.conf запись, которая была добавлена в шаге 5. Прежде чем установить модуль pam_sso, убедитесь, что на компьютере UNIX установлена и правильно настроена поддержка PAM.

Образец файла конфигурации PAM для системы HP-UX

В примерах ниже показана стандартная конфигурация. Фактическое содержимое этих файлов может быть другим, в зависимости от конфигурации системы.

#
# PAM configuration
#
# Authentication management
#
login	auth required  /usr/lib/security/libpam_unix.1
su	 auth required  /usr/lib/security/libpam_unix.1
dtlogin  auth required  /usr/lib/security/libpam_unix.1
dtaction auth required  /usr/lib/security/libpam_unix.1
ftp	auth required  /usr/lib/security/libpam_unix.1
OTHER	auth required  /usr/lib/security/libpam_unix.1
#
# Account management
#
login	account required	 /usr/lib/security/libpam_unix.1
su	 account required	 /usr/lib/security/libpam_unix.1
dtlogin  account required	 /usr/lib/security/libpam_unix.1
dtaction account required	 /usr/lib/security/libpam_unix.1
ftp	account required	 /usr/lib/security/libpam_unix.1
#
OTHER	account required	 /usr/lib/security/libpam_unix.1
#
# Session management
#
login	session required	 /usr/lib/security/libpam_unix.1
dtlogin  session required	 /usr/lib/security/libpam_unix.1
dtaction session required	 /usr/lib/security/libpam_unix.1
OTHER	session required	 /usr/lib/security/libpam_unix.1
#
# Password management
#
login	password required	/usr/lib/security/libpam_unix.1
dtlogin  password required	/usr/lib/security/libpam_unix.1
dtaction password required	/usr/lib/security/libpam_unix.1
other	password required	/usr/lib/security/libpam_unix.1
other	password required	/usr/lib/security/pam_sso.hp.1

Установка подключаемого модуля проверки подлинности (PAM) на компьютеры с ОС Linux

Чтобы установить PAM на компьютеры под управлением Linux, выполните описанные ниже действия.

Установка PAM на компьютер с операционной системой Linux
  1. Скопируйте файл pam_sso.rhl из каталога \Unix\Bins на компакт-диске Windows Server 2008 R2 в каталог /lib/security на компьютере UNIX и измените его имя на pam_sso.so.1.

  2. На компьютере UNIX скопируйте файл /etc/pam.d/system-auth в папку /etc/pam.d/ssod.

  3. Откройте файл /etc/pam.d/system-auth в текстовом редакторе и найдите следующую строку:

    password…..required…../lib/security/pam_cracklib.so…..retry=3
    
  4. Под строкой, указанной в предыдущем шаге, добавьте следующую строку:

    password required /lib/security/pam_sso.so.1

  5. Найдите и удалите следующую строку:

    Password	required	/lib/security/pam_deny.so
    
  6. Сохраните измененный файл.

Примечание

Данные инструкции касаются стандартной конфигурации Linux. Если стандартная конфигурация поддержки PAM была изменена, может потребоваться изменение этих инструкций в соответствии с конкретной конфигурацией. Чтобы отключить синхронизацию паролей из UNIX в Windows, удалите из файла /etc/pam.d/system-auth запись, которая была добавлена в шаге 4. Прежде чем установить модуль pam_sso, убедитесь, что на компьютере UNIX установлена и правильно настроена поддержка PAM.

Образец файла конфигурации PAM для системы Linux

В примерах ниже показана стандартная конфигурация. В зависимости от конфигурации системы фактическое содержимое этих файлов может отличаться.

/etc/pam.d/passwd

#%PAM-1.0
auth	 required	 /lib/security/pam_stack.so service=system-auth
account	required	 /lib/security/pam_stack.so service=system-auth
password   required	 /lib/security/pam_stack.so service=system-auth


/etc/pam.d/ssod

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth		required	/lib/security/pam_env.so
auth		sufficient	/lib/security/pam_unix.so likeauth nullok
auth		required	/lib/security/pam_deny.so

account	 required	/lib/security/pam_unix.so

password	required	/lib/security/pam_cracklib.so retry=3 type=
password	sufficient	/lib/security/pam_unix.so nullok use_authtok shadow
password	required	/lib/security/pam_deny.so

session	 required	/lib/security/pam_limits.so
session	 required	/lib/security/pam_unix.so


/etc/pam.d/system-auth

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth		required	/lib/security/pam_env.so
auth		sufficient	/lib/security/pam_unix.so likeauth nullok
auth		required	/lib/security/pam_deny.so

account	 required	/lib/security/pam_unix.so

password	required	/lib/security/pam_cracklib.so retry=3 type=
password	required	/lib/security/pam_sso.so.1
password	sufficient	/lib/security/pam_unix.so nullok use_authtok shadow
password	required	/lib/security/pam_deny.so

session	 required	/lib/security/pam_limits.so
session	 required	/lib/security/pam_unix.so

Установка подключаемого модуля проверки подлинности (PAM) на компьютеры с ОС Solaris

Чтобы установить PAM на компьютеры под управлением Sun Solaris, выполните описанные ниже действия.

Установка PAM на компьютер с операционной системой Solaris
  1. Скопируйте файл pam_sso.sol из каталога \Unix\Bins на компакт-диске Windows Server 2008 R2 в каталог /usr/lib/security на компьютере UNIX и измените его имя на pam_sso.so.1.

  2. Откройте файл /etc/pam.conf в текстовом редакторе на компьютере UNIX.

  3. В разделе Управление паролями найдите следующую строку:

    other password required /usr/lib/security/$ISA/pam_unix.so.1
    
  4. Под строкой, найденной в шаге 3, добавьте следующую строку:

    other password required /usr/lib/security/$ISA/pam_sso.so.1

Примечание

Чтобы отключить синхронизацию паролей из UNIX в Windows, удалите из файла /etc/pam.conf запись, которая была добавлена в шаге 4. Прежде чем установить модуль pam_sso, убедитесь, что на компьютере UNIX установлена и правильно настроена поддержка PAM.

Образец файла конфигурации PAM для системы Solaris

В примерах ниже показана стандартная конфигурация. В зависимости от конфигурации системы фактическое содержимое этих файлов может отличаться.

#
#ident  "@(#)pam.conf   1.14	99/09/16 SMI"
#
# Copyright (c) 1996-1999, Sun Microsystems, Inc.
# All Rights Reserved.
#
# PAM configuration
#
# Authentication management
#
login   auth required   /usr/lib/security/$ISA/pam_unix.so.1
login   auth required   /usr/lib/security/$ISA/pam_dial_auth.so.1
#
rlogin  auth sufficient /usr/lib/security/$ISA/pam_rhosts_auth.so.1
rlogin  auth required   /usr/lib/security/$ISA/pam_unix.so.1
#
dtlogin auth required   /usr/lib/security/$ISA/pam_unix.so.1
#
rsh	 auth required   /usr/lib/security/$ISA/pam_rhosts_auth.so.1
other   auth required   /usr/lib/security/$ISA/pam_unix.so.1
#
# Account management
#
login   account requisite	 /usr/lib/security/$ISA/pam_roles.so.1
login   account required		/usr/lib/security/$ISA/pam_unix.so.1
#
dtlogin account requisite	 /usr/lib/security/$ISA/pam_roles.so.1
dtlogin account required		/usr/lib/security/$ISA/pam_unix.so.1
#
other   account requisite	 /usr/lib/security/$ISA/pam_roles.so.1
other   account required		/usr/lib/security/$ISA/pam_unix.so.1
#
# Session management
#
other   session required		/usr/lib/security/$ISA/pam_unix.so.1
#
# Password management
#

other   password required	 /usr/lib/security/$ISA/pam_unix.so.1
other  password required		/usr/lib/security/$ISA/pam_sso.so.1
dtsession auth required /usr/lib/security/$ISA/pam_unix.so.1

#
# Support for Kerberos V5 authentication (uncomment to use Kerberos)
#
#rlogin auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#login  auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#dtlogin		auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#other  auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
#dtlogin		account optional /usr/lib/security/$ISA/pam_krb5.so.1
#other  account optional /usr/lib/security/$ISA/pam_krb5.so.1
#other  session optional /usr/lib/security/$ISA/pam_krb5.so.1
#other  password optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass