Verwenden von "sso.conf" zum Konfigurieren der Kennwortsynchronisierung auf UNIX-basierten Computern

Wenn Sie Einstellungen ändern und die Kennwortsynchronisierung auf einem UNIX-basierten Computer anpassen möchten, ändern Sie die Einstellungen in der Datei sso.conf. Informationen zum Installieren der Datei sso.conf finden Sie unter Installieren des Daemons für die Kennwortsynchronisierung auf UNIX-basierten Computern.

In der folgenden Tabelle werden die Werte beschrieben, die Sie in der Datei sso.conf festlegen können.

Wert Beschreibung

CASE_IGNORE_NAME

Gibt an, ob die Kennwortsynchronisierung beim Vergleich von Windows- und UNIX-Benutzernamen Unterschiede in der Groß-/Kleinschreibung ignoriert. Wenn Sie Vergleiche ohne Berücksichtigung der Groß-/Kleinschreibung zulassen möchten, legen Sie den Wert 1 (Standard) fest. Wenn Sie die Kennwortsynchronisierung zwingen möchten, dass sie bei Vergleichen die Groß-/Kleinschreibung berücksichtigt, dann legen Sie für diesen Eintrag den Wert 0 fest.

ENCRYPT_KEY

Gibt den Standardschlüssel an, der zur Verschlüsselung von Kennwörtern verwendet wird, die mit Windows-Servern ausgetauscht werden. Über die Einstellungen für SYNC_HOSTS können Sie für einen bestimmten Windows-Server einen anderen Verschlüsselungsschlüssel angeben.

FILE_PATH

Gibt den vollständigen Pfad mit dem Dateinamen für die Kennwortdatei (passwd) oder Schattendatei (shadow) an (z. B./etc/passwd). Diese Datei muss die verschlüsselten Kennwörter für Benutzer enthalten. Der Dateityp (passwd oder shadow) muss dem von USE_SHADOW angegebenen Dateityp entsprechen. Auf AIX-Systemen lauten der Pfad und Name der Schattendatei /etc/security/passwd.

IGNORE_PROPAGATION_ERRORS

Wird 1 festgelegt, wird damit angegeben, dass PAM für die Kennwortsynchronisierung jeden Fehler, der bei der Änderung eines Windows-Kennworts auftritt, ignorieren soll, und mit der Synchronisierung anderer, in SYNC_HOSTS angegebener Hosts fortfahren soll.

NIS_UPDATE_PATH

Gibt den vollständigen Pfad des NIS-Makefiles an. Dieser Wert wird ignoriert, es sei denn, für USE_NIS ist der Wert 1 festgelegt.

PORT_NUMBER

Gibt die Standardnummer für den Port an, den der Daemon der Kennwortsynchronisierung auf Kennwortänderungen bei Windows-Servern überwacht. Über die Einstellungen für SYNC_HOSTS können Sie für einen bestimmten Windows-Server eine andere Portnummer angeben.

SYNC_DELAY

Gibt an, wie viele Sekunden PAM für die Kennwortsynchronisierung zwischen den einzelnen Synchronisierungsversuchen jeweils wartet.

SYNC_HOSTS

Gibt die Windows-Server oder Domänencontroller an, mit denen Kennwörter synchronisiert werden sollen. Außerdem können Sie für einen bestimmten Server eine Portnummer oder einen Verschlüsselungsschlüssel (oder beides) angeben. Setzen Sie jeden Eintrag in Klammern, und setzen Sie ein Leerzeichen zwischen den Einträgen. Sie können in separaten Zeilen mehrere Einträge haben, wobei jeder Eintrag maximal 269 Zeichen umfassen darf. Die Gesamtliste von Servern oder Domänencontrollern wird durch eine Verkettung aller Einträge generiert. Beispiel:

SYNC_HOSTS=(Marketing) 
SYNC_HOSTS=(Sales,ASDFhjkl4321ZyXw) (Accounting,6678) 
SYNC_HOSTS=(Shipping,6678,ASDFhjkl4321ZyXw)

Hier erfolgt die Synchronisierung von Kennwörtern mit dem Server Marketing unter Verwendung des Standardports und Standardverschlüsselungsschlüssels, mit dem Server Sales mit ASDFhjkl4321ZyXw als Verschlüsselungsschlüssel, mit dem Server Accounting mit 6678 als Portnummer und mit dem Server Shipping mit 6678 als Portnummer und ASDFhjkl4321ZyXw als Verschlüsselungsschlüssel.

Wenn Sie spezifische Einstellungen für die Portnummer oder den Verschlüsselungsschlüssel verwenden, müssen Sie die gleichen Werte für die Konfigurierung der Kennwortsynchronisierung auf dem Windows-Server verwenden. Andernfalls werden die Kennwörter nicht synchronisiert.

SYNC_RETRIES

Gibt an, wie oft PAM für die Kennwortsynchronisierung versucht, eine Kennwortänderung mit einem Windows-Server oder Domänencontroller zu synchronisieren.

SYNC_USERS

Gibt die UNIX-Benutzer an, deren Kennwörter synchronisiert werden sollen. Sie können ALL angeben, um die Kennwörter für alle Benutzer zu synchronisieren, oder NONE, um die Kennwortsynchronisierung für Benutzer zu deaktivieren. Sie können auch bestimmte Benutzer angeben. Wenn Sie vor einen Benutzer oder mehreren Benutzern ein Pluszeichen (+) setzen, werden nur die Kennwörter dieser Benutzer synchronisiert. Wenn Sie vor einen Benutzer oder mehreren Benutzern ein Minuszeichen () setzen, werden die Kennwörter aller Benutzer, mit Ausnahme dieser Benutzer synchronisiert. Wenn Sie beispielsweise die Kennwortsynchronisierung nur für die Benutzer bobg und kimr zulassen möchten, geben Sie Folgendes an:

SYNC_USERS=+bobg +kimr

Wenn Sie die Kennwortsynchronisierung für die Benutzer root und bobg deaktivieren möchten, geben Sie Folgendes an:

SYNC_USERS=–root –bobg

Unabhängig von der Reihenfolge der Einträge hat das Minuszeichen immer Vorrang. Im Folgenden wird beispielsweise angegeben, dass das Kennwort für Benutzer chrisa nicht synchronisiert werden soll:

SYNC_USERS=+chrisa –chrisa +chrisa

TEMP_FILE_PATH

Gibt den vollständigen Pfad des Verzeichnisses an, das verwendet wird, um während der Aktualisierung der Kennwortdatei oder der Schattendatei eine temporäre Datei zu speichern. Dabei sollte es sich um dasselbe Verzeichnis handeln, in dem die Kennwort- (passwd) oder Schattendatei (shadow) gespeichert ist. Aus Sicherheitsgründen sollte nur der Administrator Zugriff auf dieses Verzeichnis haben.

USE_NIS

Legen Sie 0 fest, wenn die Kennwortsynchronisierung keine Synchronisierung mit einer NIS-Domäne (Network Information Service, Netzwerkinformationsdienst) durchführen soll; legen Sie 1 fest, wenn die Kennwortsynchronisierung die Synchronisierung mit einer NIS-Domäne durchführen soll. Wenn für USE_NIS der Wert 1 festgelegt ist, geben Sie einen gültigen Pfad für NIS_UPDATE_PATH an.

USE_SHADOW

Legen Sie 0 fest, wenn die Kennwortdatei (passwd) für die Synchronisierung verwendet werden soll. Legen Sie 1 fest, wenn die Schattendatei (shadow) verwendet werden soll.