Gestión de contraseñas › Sincronización de contraseñas en puntos finales › Sincronización de contraseñas en UNIX y Linux › Configuración de la función de sincronización de contraseñas de UNIX › Configuración del archivo pam.conf

Configuración del archivo pam.conf

El archivo /etc/pam.conf es el archivo de configuración de PAM principal. Se debe editar el archivo para insertar una línea en la pila de servicio de contraseña. En algunos sistemas Linux, el archivo pam.conf se reemplaza por /etc/pam.d, por lo que se tendrá que editar el archivo /etc/pam.d/system-auth.

Para configurar el archivo pam.conf

1. Vaya al directorio /etc o /etc/pam.d si se está configurando el módulo de PAM en un sistema Linux adecuado.
2. Edite el archivo pam.conf para insertar una línea de sincronización de contraseñas en la pila de servicio de contraseña. Para configuraciones específicas de plataforma, consulte los siguientes ejemplos:

   passwd password required /usr/lib/security/pam_unix.so

   passwd password optional /usr/lib/security/pam_CA_eta.so

3. (Opcional) Se pueden agregar los siguientes parámetros opcionales en la línea de módulo pam_CA_eta:

   config=/path/file

   Indica la ubicación de un archivo de configuración alternativo.

   syslog

   Envía mensajes informativos y de error al servicio de syslog local.

   trace

   Genera un archivo de seguimiento para cada operación de actualización de contraseñas. Los archivos de seguimiento se denominan "/tmp/pam_CA_eta-trace.<nnnn>" donde "<nnnn>" es el número de PID del proceso de contraseña.

4. Implemente los siguientes cambios de configuración específicos de plataforma:

   Para sistemas AIX, agregue las siguientes líneas al final del archivo /etc/pam.conf:

   #
   

   # CA Identity Manager Unix Password Synchronization
   

   #
   

   login   password  optional    /usr/lib/security/pam_CA_eta.so syslog
   passwd  password  optional    /usr/lib/security/pam_CA_eta.so syslog 
   rlogin  password  optional    /usr/lib/security/pam_CA_eta.so syslog 
   su      password  optional    /usr/lib/security/pam_CA_eta.so syslog 
   telnet  password  optional    /usr/lib/security/pam_CA_eta.so syslog 
   sshd    password  optional    /usr/lib/security/pam_CA_eta.so syslog 
   OTHER   password  optional    /usr/lib/security/pam_CA_eta.so syslog 
   

   Para sistemas HP-UX, agregue las siguientes líneas al final del archivo /etc/pam.conf:

   #
   

   # CA Identity Manager Unix Password Synchronization
   

   #
   

   login    password optional    /usr/lib/security/libpam_CA_eta.1 syslog
   passwd   password optional    /usr/lib/security/libpam_CA_eta.1 syslog
   dtlogin  password optional    /usr/lib/security/libpam_CA_eta.1 syslog
   dtaction password optional    /usr/lib/security/libpam_CA_eta.1 syslog
   OTHER    password optional    /usr/lib/security/libpam_CA_eta.1 syslog
   

   Para sistemas HP-UX Itanium2, agregue las siguientes líneas al final del archivo /etc/pam.conf:

   #
   

   # CA Identity Manager Unix Password Synchronization
   

   #
   

   login    password optional    /usr/lib/security/$ISA/libpam_CA_eta.1 syslog
   passwd   password optional    /usr/lib/security/$ISA/libpam_CA_eta.1 syslog
   dtlogin  password optional    /usr/lib/security/$ISA/libpam_CA_eta.1 syslog
   dtaction password optional    /usr/lib/security/$ISA/libpam_CA_eta.1 syslog
   OTHER    password optional    /usr/lib/security/$ISA/libpam_CA_eta.1 syslog
   

   Para sistemas Sun Solaris, agregue la línea pam_CA_eta después de la línea pam_unix existente:

   #
   

   # Password management
   

   #
   

   other   password required       /usr/lib/security/pam_unix.so.1
   other   password optional       /usr/lib/security/pam_CA_eta.so syslog
   

   Para sistemas Linux, agregue la línea pam_CA_eta entre las líneas pam_cracklib y pam_unix existentes:

   password    required     /lib/security/pam_cracklib.so retry=3 type=
   password    optional     /lib/security/pam_CA_eta.so syslog
   password    sufficient   /lib/security/pam_unix.so nullok use_authtok md5 shadow
   password    required     /lib/security/pam_deny.so
   

5. Para sistemas AIX, edite el archivo /etc/security/login.cfg para establecer auth_type = PAM_AUTH. Se activa el marco de trabajo de PAM, que no está activado de forma predeterminada. Se trata de una configuración de período de ejecución, por lo que no se tendrá que reiniciar el sistema para que surta efecto.