Synchronisation de mot de passe avec un domaine NIS

À l’aide de la synchronisation de mot de passe, vous pouvez fournir une synchronisation unidirectionnelle (Windows vers UNIX) et bidirectionnelle entre des domaines Windows et des domaines NIS (Network Information Service). Vous pouvez effectuer cette opération que le serveur maître du domaine NIS exécute un système d’exploitation UNIX ou qu’il corresponde à un ordinateur Windows exécutant Serveur pour NIS.

Si le serveur maître NIS utilise un système d’exploitation UNIX, il suffit, pour offrir la synchronisation unidirectionnelle, d’installer la synchronisation de mot de passe sur tous les ordinateurs Windows (sur les contrôleurs de domaine par exemple) à partir desquels vous souhaitez effectuer cette opération, puis d’installer le démon SSOD (Single Sign-On Daemon) sur le serveur maître NIS. Ensuite, modifiez le fichier sso.conf du serveur maître NIS de la manière suivante :

  • Définissez USE_NIS à 1.

  • Spécifiez l’emplacement du makefile NIS dans NIS_UPDATE_PATH.

Ainsi, le SSOD exécute le fichier Make et envoie les mappages modifiés chaque fois qu’une demande de modification de mot de passe arrive du domaine Windows. Pour plus d’informations et obtenir des instructions supplémentaires, voir Installer le démon Synchronisation de mot de passe sur des ordinateurs UNIX.

Si le Serveur pour NIS est le serveur maître pour le domaine NIS, vous pouvez fournir une synchronisation de mot de passe unidirectionnelle depuis Windows vers UNIX en sélectionnant Activer dans la zone Synchronisation de mot de passe Windows vers NIS (Active Directory) de l’onglet Configuration de la boîte de dialogue Propriétés de Synchronisation de mot de passe. Puisque l’activation de la synchronisation de mot de passe Windows vers NIS (Active Directory) expose les mots de passe à un risque plus élevé d’utilisation non autorisée, la sélection d’Activer affiche un message vous demandant d’exécuter un contrôle de compatibilité sur tous les contrôleurs de domaine dans la forêt, afin de vérifier qu’ils disposent de toutes les fonctions de sécurité minimales afin de protéger les mots de passe utilisateur.

Si vous devez aussi synchroniser des mots de passe avec des ordinateurs UNIX qui ne font pas partie du domaine NIS, installez la synchronisation de mot de passe sur les contrôleurs de domaine des Services de domaine Active Directory Windows et configurez les ordinateurs UNIX selon la procédure décrite plus haut dans cette rubrique.

Vous pouvez fournir une synchronisation UNIX vers Windows pour les deux types de domaines NIS en procédant comme suit.

  • Si le serveur maître NIS exécute un système d’exploitation UNIX, configurez le serveur pour une synchronisation unidirectionnelle, comme décrit plus haut dans cette rubrique.

  • Installez la synchronisation de mot de passe sur tous les contrôleurs de domaine. Si le serveur maître NIS exécute un système d’exploitation UNIX, configurez la synchronisation de mot de passe sur des serveurs Windows pour une synchronisation bidirectionnelle avec ce serveur maître. Enfin, ajoutez tous les clients NIS à la liste des ordinateurs avec lesquels s’effectue la synchronisation de mot de passe ; veillez bien à activer la synchronisation d’UNIX vers Windows et à désactiver la synchronisation de Windows vers UNIX. La synchronisation de Windows vers UNIX doit être activée uniquement pour le serveur maître NIS. Pour plus d’informations sur l’ajout et la configuration d’ordinateurs, voir Ajout et suppression des ordinateurs pour la synchronisation et Définition des propriétés de synchronisation pour un ordinateur spécifique.

  • Installez le PAM (Pluggable Authentication Module) Synchronisation de mot de passe sur tous les clients NIS, puis copiez le fichier sso.conf du serveur maître vers le répertoire /etc de ces clients. Pour plus d’informations, voir Installer le PAM (Pluggable Authentication Module) Synchronisation de mot de passe.

  • Si le serveur maître NIS est un ordinateur Windows exécutant Serveur pour NIS, copiez Sso.cfg sur un des clients NIS, définissez SYNC_HOSTS pour spécifier l’ordinateur qui exécute Serveur pour NIS comme étant l’ordinateur Windows avec lequel synchroniser les mots de passe, puis copiez ce fichier sur les autres clients UNIX. Voir Utiliser sso.conf pour configurer la synchronisation de mot de passe sur des ordinateurs basés sur UNIX pour en apprendre davantage sur les paramètres de ce fichier.

  • Configurez tous les ordinateurs UNIX afin que les utilisateurs puissent utiliser la commande yppasswd pour modifier leurs mots de passe. Pour cela, remplacez le fichier binaire yppasswd de l’ordinateur UNIX par un lien menant au fichier binaire passwd, puis modifiez le fichier /etc/nsswitch.conf pour remplacer les lignes passwd et shadow par :

    passwd:  files [NOTFOUND=continue] nis
    shadow:  files [NOTFOUND=continue] nis
    Par la suite, lorsqu’un utilisateur exécute la commande yppasswd pour modifier son mot de passe, c’est en fait le fichier binaire passwd qui est exécuté. Si l’entrée passwd de l’utilisateur est introuvable dans les fichiers passwd et shadow locaux, c’est le mot de passe NIS qui est modifié à la place.