В этом разделе содержатся инструкции по установке подключаемого модуля проверки подлинности (PAM) на компьютеры под управлением следующих семейств ОС на базе UNIX:
Установка подключаемого модуля проверки подлинности (PAM) на компьютеры с ОС AIX
Чтобы установить PAM на компьютеры под управлением IBM AIX, выполните описанные ниже действия.
Установка PAM на компьютер с операционной системой AIX |
-
Скопируйте файл pam_sso.aix из каталога \Unix\Bins на компакт-диске Windows Server® 2008 R2 в каталог /usr/lib/ на компьютере, работающем под управлением IBM AIX.
-
Измените имя файла на pam_sso.aix.1.
-
Войдите в систему компьютера, работающего под управлением AIX, с помощью учетной записи root и затем выполните следующую команду:
chown root /usr/lib/pam_sso.aix.1 chmod 555 /usr/lib/pam_sso.aix.1
-
При необходимости создайте файл /etc/pam.conf в соответствии с требованиями сети, укажите в качестве владельца файла учетную запись root, а в качестве разрешений укажите значение 644. Дополнительные сведения о том, как создать файл pam.conf, см. в разделе «Подключаемые модули проверки подлинности» руководства System Management Guides: Security Guide в документации к AIX.
Далее приведен образец файла pam.conf.
# # Authentication management # OTHER auth required /usr/lib/security/pam_aix # # Account management # OTHER account required /usr/lib/security/pam_aix # # Session management # OTHER session required /usr/lib/security/pam_aix
-
Откройте файл /etc/pam.conf в текстовом редакторе.
-
Добавьте в раздел Управление паролями следующую строку:
passwd password required /usr/lib/security/pam_sso.aix.1
Далее приведен образец файла pam.conf с добавленной строкой.
# # Authentication management # OTHER auth required /usr/lib/security/pam_aix # # Account management # OTHER account required /usr/lib/security/pam_aix # # Session management # OTHER session required /usr/lib/security/pam_aix # # Password management # passwd password required /usr/lib/security/pam_sso.aix.1
-
Откройте файл /usr/lib/security/methods.cfg в текстовом редакторе и добавьте следующие строки в конце этого файла:
PAM: program = /usr/lib/security/PAM
PAMfiles: options = auth=PAM,db=BUILTIN
-
Откройте файл /etc/security/user в текстовом редакторе и добавьте сведения о проверке подлинности для тех пользователей, пароли которых необходимо синхронизировать. Пример:
user1: admin = false SYSTEM = PAMfiles[*] AND "compat" registry = PAMfiles
Примечание | |
Чтобы разрешить всем пользователям синхронизировать свои пароли, можно изменить раздел по умолчанию файла /etc/security/user. В этом случае для ограничения доступа к службе синхронизации паролей можно использовать атрибут SYNC_USERS файла /etc/sso.conf. Дополнительные сведения см. в разделе Использование файла sso.conf для настройки синхронизации паролей на компьютерах UNIX. Чтобы отключить синхронизацию паролей из UNIX в Windows, удалите из файла /etc/pam.conf запись, которая была добавлена в шаге 6. |
Установка подключаемого модуля проверки подлинности (PAM) на компьютеры с ОС HP-UX
Чтобы установить PAM на компьютеры под управлением Hewlett-Packard HP-UX, выполните описанные ниже действия.
Установка PAM на компьютер с операционной системой HP-UX |
-
Скопируйте файл pam_sso.hpx из каталога \Unix\Bins на компакт-диске Windows Server 2008 R2 в каталог /usr/lib/security на компьютере UNIX.
-
Измените имя файла на pam_sso.hp.1 и затем установите для битов файлового режима значение 544.
Примечание Для битов файлового режима файла pam_sso.hp.1 необходимо установить значение 544 (o:r-x,g:r--,w:r--); в противном случае его правильная работа обеспечена не будет.
-
Откройте файл /etc/pam.conf в текстовом редакторе на компьютере под управлением ОС HP-UX.
-
В разделе Управление паролями найдите следующую строку:
other password required /usr/lib/security/libpam_unix.1
-
Под строкой, найденной в предыдущем шаге, добавьте следующую строку:
other password required /usr/lib/security/pam_sso.hp.1
Примечание | |
Чтобы отключить синхронизацию паролей из UNIX в Windows, удалите из файла /etc/pam.conf запись, которая была добавлена в шаге 5. Прежде чем установить модуль pam_sso, убедитесь, что на компьютере UNIX установлена и правильно настроена поддержка PAM. |
Образец файла конфигурации PAM для системы HP-UX
В примерах ниже показана стандартная конфигурация. Фактическое содержимое этих файлов может быть другим, в зависимости от конфигурации системы.
# # PAM configuration # # Authentication management # login auth required /usr/lib/security/libpam_unix.1 su auth required /usr/lib/security/libpam_unix.1 dtlogin auth required /usr/lib/security/libpam_unix.1 dtaction auth required /usr/lib/security/libpam_unix.1 ftp auth required /usr/lib/security/libpam_unix.1 OTHER auth required /usr/lib/security/libpam_unix.1 # # Account management # login account required /usr/lib/security/libpam_unix.1 su account required /usr/lib/security/libpam_unix.1 dtlogin account required /usr/lib/security/libpam_unix.1 dtaction account required /usr/lib/security/libpam_unix.1 ftp account required /usr/lib/security/libpam_unix.1 # OTHER account required /usr/lib/security/libpam_unix.1 # # Session management # login session required /usr/lib/security/libpam_unix.1 dtlogin session required /usr/lib/security/libpam_unix.1 dtaction session required /usr/lib/security/libpam_unix.1 OTHER session required /usr/lib/security/libpam_unix.1 # # Password management # login password required /usr/lib/security/libpam_unix.1 dtlogin password required /usr/lib/security/libpam_unix.1 dtaction password required /usr/lib/security/libpam_unix.1 other password required /usr/lib/security/libpam_unix.1 other password required /usr/lib/security/pam_sso.hp.1
Установка подключаемого модуля проверки подлинности (PAM) на компьютеры с ОС Linux
Чтобы установить PAM на компьютеры под управлением Linux, выполните описанные ниже действия.
Установка PAM на компьютер с операционной системой Linux |
-
Скопируйте файл pam_sso.rhl из каталога \Unix\Bins на компакт-диске Windows Server 2008 R2 в каталог /lib/security на компьютере UNIX и измените его имя на pam_sso.so.1.
-
На компьютере UNIX скопируйте файл /etc/pam.d/system-auth в папку /etc/pam.d/ssod.
-
Откройте файл /etc/pam.d/system-auth в текстовом редакторе и найдите следующую строку:
password…..required…../lib/security/pam_cracklib.so…..retry=3
-
Под строкой, указанной в предыдущем шаге, добавьте следующую строку:
password required /lib/security/pam_sso.so.1
-
Найдите и удалите следующую строку:
Password required /lib/security/pam_deny.so
-
Сохраните измененный файл.
Примечание | |
Данные инструкции касаются стандартной конфигурации Linux. Если стандартная конфигурация поддержки PAM была изменена, может потребоваться изменение этих инструкций в соответствии с конкретной конфигурацией. Чтобы отключить синхронизацию паролей из UNIX в Windows, удалите из файла /etc/pam.d/system-auth запись, которая была добавлена в шаге 4. Прежде чем установить модуль pam_sso, убедитесь, что на компьютере UNIX установлена и правильно настроена поддержка PAM. |
Образец файла конфигурации PAM для системы Linux
В примерах ниже показана стандартная конфигурация. В зависимости от конфигурации системы фактическое содержимое этих файлов может отличаться.
/etc/pam.d/passwd #%PAM-1.0 auth required /lib/security/pam_stack.so service=system-auth account required /lib/security/pam_stack.so service=system-auth password required /lib/security/pam_stack.so service=system-auth /etc/pam.d/ssod #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required /lib/security/pam_env.so auth sufficient /lib/security/pam_unix.so likeauth nullok auth required /lib/security/pam_deny.so account required /lib/security/pam_unix.so password required /lib/security/pam_cracklib.so retry=3 type= password sufficient /lib/security/pam_unix.so nullok use_authtok shadow password required /lib/security/pam_deny.so session required /lib/security/pam_limits.so session required /lib/security/pam_unix.so /etc/pam.d/system-auth #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required /lib/security/pam_env.so auth sufficient /lib/security/pam_unix.so likeauth nullok auth required /lib/security/pam_deny.so account required /lib/security/pam_unix.so password required /lib/security/pam_cracklib.so retry=3 type= password required /lib/security/pam_sso.so.1 password sufficient /lib/security/pam_unix.so nullok use_authtok shadow password required /lib/security/pam_deny.so session required /lib/security/pam_limits.so session required /lib/security/pam_unix.so
Установка подключаемого модуля проверки подлинности (PAM) на компьютеры с ОС Solaris
Чтобы установить PAM на компьютеры под управлением Sun Solaris, выполните описанные ниже действия.
Установка PAM на компьютер с операционной системой Solaris |
-
Скопируйте файл pam_sso.sol из каталога \Unix\Bins на компакт-диске Windows Server 2008 R2 в каталог /usr/lib/security на компьютере UNIX и измените его имя на pam_sso.so.1.
-
Откройте файл /etc/pam.conf в текстовом редакторе на компьютере UNIX.
-
В разделе Управление паролями найдите следующую строку:
other password required /usr/lib/security/$ISA/pam_unix.so.1
-
Под строкой, найденной в шаге 3, добавьте следующую строку:
other password required /usr/lib/security/$ISA/pam_sso.so.1
Примечание | |
Чтобы отключить синхронизацию паролей из UNIX в Windows, удалите из файла /etc/pam.conf запись, которая была добавлена в шаге 4. Прежде чем установить модуль pam_sso, убедитесь, что на компьютере UNIX установлена и правильно настроена поддержка PAM. |
Образец файла конфигурации PAM для системы Solaris
В примерах ниже показана стандартная конфигурация. В зависимости от конфигурации системы фактическое содержимое этих файлов может отличаться.
# #ident "@(#)pam.conf 1.14 99/09/16 SMI" # # Copyright (c) 1996-1999, Sun Microsystems, Inc. # All Rights Reserved. # # PAM configuration # # Authentication management # login auth required /usr/lib/security/$ISA/pam_unix.so.1 login auth required /usr/lib/security/$ISA/pam_dial_auth.so.1 # rlogin auth sufficient /usr/lib/security/$ISA/pam_rhosts_auth.so.1 rlogin auth required /usr/lib/security/$ISA/pam_unix.so.1 # dtlogin auth required /usr/lib/security/$ISA/pam_unix.so.1 # rsh auth required /usr/lib/security/$ISA/pam_rhosts_auth.so.1 other auth required /usr/lib/security/$ISA/pam_unix.so.1 # # Account management # login account requisite /usr/lib/security/$ISA/pam_roles.so.1 login account required /usr/lib/security/$ISA/pam_unix.so.1 # dtlogin account requisite /usr/lib/security/$ISA/pam_roles.so.1 dtlogin account required /usr/lib/security/$ISA/pam_unix.so.1 # other account requisite /usr/lib/security/$ISA/pam_roles.so.1 other account required /usr/lib/security/$ISA/pam_unix.so.1 # # Session management # other session required /usr/lib/security/$ISA/pam_unix.so.1 # # Password management # other password required /usr/lib/security/$ISA/pam_unix.so.1 other password required /usr/lib/security/$ISA/pam_sso.so.1 dtsession auth required /usr/lib/security/$ISA/pam_unix.so.1 # # Support for Kerberos V5 authentication (uncomment to use Kerberos) # #rlogin auth optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass #login auth optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass #dtlogin auth optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass #other auth optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass #dtlogin account optional /usr/lib/security/$ISA/pam_krb5.so.1 #other account optional /usr/lib/security/$ISA/pam_krb5.so.1 #other session optional /usr/lib/security/$ISA/pam_krb5.so.1 #other password optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass