密码管理 › 同步端点上的密码 › UNIX 和 Linux 的密码同步 › 配置 UNIX 密码同步功能 › 配置 pam.conf 文件

配置 pam.conf 文件

/etc/pam.conf 文件是主要的 PAM 配置文件。 您必须编辑文件，以便在密码服务堆栈中插入行。 在一些 Linux 系统上，pam.conf 文件被替换成 /etc/pam.d，因此您需要编辑 /etc/pam.d/system-auth 文件。

配置 pam.conf 文件

1. 导航到 /etc 目录，或 /etc/pam.d 目录（如果您正在相应的 Linux 系统上配置 PAM 模块）。
2. 编辑 pam.conf 文件，以便在密码服务堆栈中插入密码同步行。 有关特定平台的配置，请参阅下列示例：

   passwd password required /usr/lib/security/pam_unix.so

   passwd password optional /usr/lib/security/pam_CA_eta.so

3. （可选）您可以在 pam_CA_eta 模块行上，添加以下可选的参数：

   config=/path/file

   指示备选配置文件的位置。

   syslog

   将错误和通知消息发送到本地的 syslog 服务。

   trace

   为每次密码更新操作生成跟踪文件。 跟踪文件被命名为 /tmp/pam_CA_eta-trace.<nnnn>，其中 <nnnn> 是密码进程的 PID 编号。

4. 对特定平台实施以下配置更改：

   对于 AIX 系统，在 /etc/pam.conf 文件的底部添加下列行：

   #
   

   # CA IdentityMinder Unix Password Synchronization
   

   #
   

   login   password  optional    /usr/lib/security/pam_CA_eta.so syslog
   passwd  password  optional    /usr/lib/security/pam_CA_eta.so syslog 
   rlogin  password  optional    /usr/lib/security/pam_CA_eta.so syslog 
   su      password  optional    /usr/lib/security/pam_CA_eta.so syslog 
   telnet  password  optional    /usr/lib/security/pam_CA_eta.so syslog 
   sshd    password  optional    /usr/lib/security/pam_CA_eta.so syslog 
   OTHER   password  optional    /usr/lib/security/pam_CA_eta.so syslog 
   

   对于 HP-UX 系统，在 /etc/pam.conf 文件的底部添加下列行：

   #
   

   # CA IdentityMinder Unix Password Synchronization
   

   #
   

   login    password optional    /usr/lib/security/libpam_CA_eta.1 syslog
   passwd   password optional    /usr/lib/security/libpam_CA_eta.1 syslog
   dtlogin  password optional    /usr/lib/security/libpam_CA_eta.1 syslog
   dtaction password optional    /usr/lib/security/libpam_CA_eta.1 syslog
   OTHER    password optional    /usr/lib/security/libpam_CA_eta.1 syslog
   

   对于 HP-UX Itanium2，在 /etc/pam.conf 文件的底部添加下列行：

   #
   

   # CA IdentityMinder Unix Password Synchronization
   

   #
   

   login    password optional    /usr/lib/security/$ISA/libpam_CA_eta.1 syslog
   passwd   password optional    /usr/lib/security/$ISA/libpam_CA_eta.1 syslog
   dtlogin  password optional    /usr/lib/security/$ISA/libpam_CA_eta.1 syslog
   dtaction password optional    /usr/lib/security/$ISA/libpam_CA_eta.1 syslog
   OTHER    password optional    /usr/lib/security/$ISA/libpam_CA_eta.1 syslog
   

   对于 Sun Solaris 系统，在现有的 pam_unix 行之后添加 pam_CA_eta 行：

   #
   

   # Password management
   

   #
   

   other   password required       /usr/lib/security/pam_unix.so.1
   other   password optional       /usr/lib/security/pam_CA_eta.so syslog
   

   对于 Linux 系统，在现有的 pam_cracklib 行与 pam_unix 行之间添加 pam_CA_eta 行：

   password    required     /lib/security/pam_cracklib.so retry=3 type=
   password    optional     /lib/security/pam_CA_eta.so syslog
   password    sufficient   /lib/security/pam_unix.so nullok use_authtok md5 shadow
   password    required     /lib/security/pam_deny.so
   

5. 对于 AIX 系统，编辑 /etc/security/login.cfg 文件，设置 auth_type = PAM_AUTH。 这会启用 PAM 框架（默认情况下不会启用）。 这是运行时设置，因此无需重新启动系统即可使其生效。