Argomento precedente: Configurazione del file pam_CA_eta.confArgomento successivo: Risoluzione dei problemi relativi alla sincronizzazione di password in UNIX

Gestione delle passwordPassword di sincronizzazione sugli endpointSincronizzazione password su UNIX e LinuxConfigurazione della funzionalità di sincronizzazione password in UNIXConfigurare il file pam.conf

Configurare il file pam.conf

Il file /etc/pam.conf è il file di configurazione PAM principale. È necessario modificare il file per inserire una riga nello stack del servizio di password. Su alcuni sistemi di Linux, il file pam.conf viene sostituito da /etc/pam.d. In questo modo, sarà necessario modificare il file /etc/pam.d/system-auth.

Per configurare il file pam.conf

  1. Se si sta configurando il modulo PAM su un sistema Linux appropriato, accedere alla directory /etc o alla directory /etc/pam.d.
  2. Modificare il file pam.conf per inserire una riga di sincronizzazione password nello stack del servizio di password. Per le configurazioni specifiche per le piattaforme, consultare gli esempi seguenti:

    passwd password required /usr/lib/security/pam_unix.so

    passwd password optional /usr/lib/security/pam_CA_eta.so

  3. (Facoltativo) È possibile aggiungere i parametri facoltativi seguenti nella riga del modulo pam_CA_eta:
    config=/path/file

    Indica la posizione di un file di configurazione alternativo.

    syslog

    Invia messaggi di errore e informativi al servizio syslog locale.

    trace

    Genera un file di traccia per ogni operazione di aggiornamento di password. I file di traccia vengono denominati /tmp/pam_CA_eta-trace.<nnnn> dove <nnnn> è il numero PID del processo di password.

  4. Implementare le seguenti modifiche alla configurazione specifiche per le piattaforme:

    Per i sistemi AIX, aggiungere le righe seguenti alla fine del file /etc/pam.conf:

    #

    # CA Identity Manager Unix Password Synchronization

    #

    login   password  optional    /usr/lib/security/pam_CA_eta.so syslog
passwd  password  optional    /usr/lib/security/pam_CA_eta.so syslog 
rlogin  password  optional    /usr/lib/security/pam_CA_eta.so syslog 
su      password  optional    /usr/lib/security/pam_CA_eta.so syslog 
telnet  password  optional    /usr/lib/security/pam_CA_eta.so syslog 
sshd    password  optional    /usr/lib/security/pam_CA_eta.so syslog 
OTHER   password  optional    /usr/lib/security/pam_CA_eta.so syslog

    Per i sistemi HP-UX, aggiungere le righe seguenti alla fine del file /etc/pam.conf:

    #

    # CA Identity Manager Unix Password Synchronization

    #

    login    password optional    /usr/lib/security/libpam_CA_eta.1 syslog
passwd   password optional    /usr/lib/security/libpam_CA_eta.1 syslog
dtlogin  password optional    /usr/lib/security/libpam_CA_eta.1 syslog
dtaction password optional    /usr/lib/security/libpam_CA_eta.1 syslog
OTHER    password optional    /usr/lib/security/libpam_CA_eta.1 syslog

    Per i sistemi HP-UX Itanium2, aggiungere le righe seguenti alla fine del file /etc/pam.conf:

    #

    # CA Identity Manager Unix Password Synchronization

    #

    login    password optional    /usr/lib/security/$ISA/libpam_CA_eta.1 syslog
passwd   password optional    /usr/lib/security/$ISA/libpam_CA_eta.1 syslog
dtlogin  password optional    /usr/lib/security/$ISA/libpam_CA_eta.1 syslog
dtaction password optional    /usr/lib/security/$ISA/libpam_CA_eta.1 syslog
OTHER    password optional    /usr/lib/security/$ISA/libpam_CA_eta.1 syslog

    Per i sistemi Sun Solaris, aggiungere la riga pam_CA_eta dopo la riga pam_unix esistente:

    #

    # Password management

    #

    other   password required       /usr/lib/security/pam_unix.so.1
other   password optional       /usr/lib/security/pam_CA_eta.so syslog

    Per i sistemi Linux, aggiungere la riga pam_CA_eta tra le righe pam_cracklib e pam_unix esistenti:

    password    required     /lib/security/pam_cracklib.so retry=3 type=
password    optional     /lib/security/pam_CA_eta.so syslog
password    sufficient   /lib/security/pam_unix.so nullok use_authtok md5 shadow
password    required     /lib/security/pam_deny.so
  5. Per i sistemi AIX, modificare il file /etc/security/login.cfg per impostare auth_type = PAM_AUTH. In questo modo, si abilita il framework PAM che non è abilitato per impostazione predefinita. Si tratta di un'impostazione di runtime, pertanto non è necessario riavviare il sistema perché abbia effetto.