前のトピック: pam_CA_eta.conf ファイルの設定次のトピック: UNIX パスワード同期のトラブルシューティング

パスワード管理エンドポイント上でのパスワードの同期UNIX および Linux 上のパスワードの同期UNIX パスワード同期機能の設定pam.conf ファイルの設定

pam.conf ファイルの設定

/etc/pam.conf ファイルはメインの PAM 設定ファイルです。 ファイルを編集して、パスワード サービス スタックに行を挿入する必要があります。 いくつかの Linux システムでは、pam.conf ファイルは /etc/pam.d と置換されるため、/etc/pam.d/system-auth ファイルを編集する必要があります。

pam.conf ファイルの設定方法

  1. 適切な Linux システム上で PAM モジュールを設定している場合、/etc ディレクトリ、または /etc/pam.d ディレクトリに移動します。
  2. pam.conf ファイルを編集して、パスワード サービス スタックにパスワード同期の行を挿入します。 プラットフォーム固有の設定については、以下の例を参照してください。

    passwd password required /usr/lib/security/pam_unix.so

    passwd password optional /usr/lib/security/pam_CA_eta.so

  3. (オプション) pam_CA_eta モジュールの行に以下のオプションのパラメータを追加することができます。
    config=/path/file

    代替設定ファイルの場所を示します。

    syslog

    ローカル syslog サービスにエラーおよび情報メッセージを送信します。

    trace

    パスワード更新操作のそれぞれについて、トレース ファイルを生成します。 トレース ファイルは /tmp/pam_CA_eta-trace.<nnnn> という名前になります。<nnnn> はパスワード プロセスの PID 番号です。

  4. 以下のプラットフォーム固有の設定変更を実装します。

    AIX システムについては、/etc/pam.conf ファイル最後に以下の行を追加します。

    #

    # CA IdentityMinder Unix Password Synchronization

    #

    login   password  optional    /usr/lib/security/pam_CA_eta.so syslog
passwd  password  optional    /usr/lib/security/pam_CA_eta.so syslog 
rlogin  password  optional    /usr/lib/security/pam_CA_eta.so syslog 
su      password  optional    /usr/lib/security/pam_CA_eta.so syslog 
telnet  password  optional    /usr/lib/security/pam_CA_eta.so syslog 
sshd    password  optional    /usr/lib/security/pam_CA_eta.so syslog 
OTHER   password  optional    /usr/lib/security/pam_CA_eta.so syslog

    HP-UX システムについては、以下の行を /etc/pam.conf ファイルの最後に追加します。 

    #

    # CA IdentityMinder Unix Password Synchronization

    #

    login    password optional    /usr/lib/security/libpam_CA_eta.1 syslog
passwd   password optional    /usr/lib/security/libpam_CA_eta.1 syslog
dtlogin  password optional    /usr/lib/security/libpam_CA_eta.1 syslog
dtaction password optional    /usr/lib/security/libpam_CA_eta.1 syslog
OTHER    password optional    /usr/lib/security/libpam_CA_eta.1 syslog

    HP-UX Itanium2 については、以下の行を /etc/pam.conf ファイルの最後に追加します。 

    #

    # CA IdentityMinder Unix Password Synchronization

    #

    login    password optional    /usr/lib/security/$ISA/libpam_CA_eta.1 syslog
passwd   password optional    /usr/lib/security/$ISA/libpam_CA_eta.1 syslog
dtlogin  password optional    /usr/lib/security/$ISA/libpam_CA_eta.1 syslog
dtaction password optional    /usr/lib/security/$ISA/libpam_CA_eta.1 syslog
OTHER    password optional    /usr/lib/security/$ISA/libpam_CA_eta.1 syslog

    Sun Solaris システムについては、既存の pam_unix の行の後に pam_CA_eta の行を追加します。

    #

    # Password management

    #

    other   password required       /usr/lib/security/pam_unix.so.1
other   password optional       /usr/lib/security/pam_CA_eta.so syslog

    Linux システムについては、既存の pam_cracklib および pam_unix の行の間に pam_CA_eta の行を追加します。

    password    required     /lib/security/pam_cracklib.so retry=3 type=
password    optional     /lib/security/pam_CA_eta.so syslog
password    sufficient   /lib/security/pam_unix.so nullok use_authtok md5 shadow
password    required     /lib/security/pam_deny.so
  5. AIX システムについては、/etc/security/login.cfg ファイルを編集して auth_type = PAM_AUTH を設定します。 これにより、 PAM フレームワークが有効になります(デフォルトでは有効になっていません)。 これはランタイム設定であるため、設定を有効にするためにシステムを再起動する必要はありません。