NIS 도메인과 암호 동기화

암호 동기화를 사용하면 Windows 도메인과 NIS(네트워크 정보 서비스) 도메인 간의 단방향(Windows에서 UNIX로) 및 양방향 암호 동기화를 제공할 수 있습니다. 이 때 NIS 도메인의 마스터 서버가 UNIX 기반 운영 체제를 실행 중인지 또는 NIS용 서버를 실행 중인 Windows 기반 컴퓨터인지는 상관이 없습니다.

NIS 마스터 서버에서 UNIX 기반 운영 체제를 실행하려는 경우 단방향 동기화를 제공하려면 암호를 동기화하려는 모든 Windows 기반 컴퓨터(예: 도메인 컨트롤러)에 암호 동기화를 설치한 다음 NIS 마스터 서버에 SSOD(Single Sign-On Daemon)를 설치하기만 하면 됩니다. 그런 다음 NIS 마스터 서버의 sso.conf 파일을 편집하여 다음을 수행합니다.

  • USE_NIS1로 설정합니다.

  • NIS_UPDATE_PATH를 설정하여 NIS 메이크파일의 위치를 지정합니다.

이렇게 하면 SSOD가 Windows 도메인으로부터 암호 변경 요청을 받을 때마다 메이크파일을 실행하고 변경된 맵을 밀어넣도록 할 수 있습니다. 자세한 내용과 추가 지침은 UNIX 기반 컴퓨터에 암호 동기화 디먼 설치를 참조하십시오.

NIS용 서버가 NIS 도메인의 마스터 서버인 경우 암호 동기화 속성 대화 상자의 구성 탭에 있는 Windows 및 NIS(Active Directory) 간 암호 동기화 사용 영역에서 사용을 선택하여 Windows에서 UNIX로의 단방향 암호 동기화를 제공할 수 있습니다. Windows에서 NIS(Active Directory)로의 암호 동기화를 사용하면 허용되지 않은 사용으로 인해 암호가 위험에 더 많이 노출될 수 있습니다. 그러므로 사용을 선택할 경우 사용자 암호를 보호하는 데 도움이 되는 최소한의 보안 기능을 가지고 있는지 확인하기 위해 포리스트에 있는 모든 도메인 컨트롤러의 호환성 검사를 실행하라는 메시지가 표시됩니다.

NIS 도메인의 일부가 아닌 UNIX 컴퓨터와 암호를 동기화해야 할 경우 Windows 기반 Active Directory 도메인 서비스 도메인 컨트롤러에 암호 동기화를 설치하고 이 항목의 앞에서 설명한 대로 UNIX 컴퓨터를 구성합니다.

다음을 수행하여 두 가지 유형의 NIS 도메인에 대해 UNIX에서 Windows로의 동기화를 제공할 수 있습니다.

  • NIS 마스터 서버가 UNIX 기반 운영 체제를 실행 중인 경우 이 항목의 앞에서 설명한 대로 단방향 동기화를 위해 서버를 구성합니다.

  • 모든 도메인 컨트롤러에 암호 동기화를 설치합니다. NIS 마스터 서버가 UNIX 기반 운영 체제를 실행 중인 경우 마스터 서버와 양방향으로 동기화를 하기 위해 Windows 기반 서버에 암호 동기화를 구성합니다. 마지막으로 암호 동기화가 작동하는 컴퓨터의 목록에 각 NIS 클라이언트를 추가합니다. 이때 UNIX에서 Windows로의 동기화는 사용하도록 설정해야 하며, Windows에서 UNIX로의 동기화는 사용하지 않도록 설정해야 합니다. Windows에서 UNIX로의 동기화는 NIS 마스터 서버에만 사용하도록 설정해야 합니다. 컴퓨터 추가 및 구성에 대한 자세한 내용은 동기화를 위해 컴퓨터 추가 또는 제거컴퓨터별 동기화 속성 설정을 참조하십시오.

  • 각 NIS 클라이언트에 암호 동기화 PAM(플러그 가능한 인증 모듈)을 설치한 다음 sso.conf 파일을 마스터 서버에서 해당 클라이언트의 /etc 디렉터리로 복사합니다. 자세한 내용은 암호 동기화 플러그 가능한 인증 모듈 설치를 참조하십시오.

  • NIS용 서버를 실행하는 Windows 기반 컴퓨터가 NIS 마스터 서버인 경우 Sso.cfg를 NIS 클라이언트 중 하나로 복사하고, SYNC_HOSTS를 설정하여 NIS용 서버를 실행하는 컴퓨터를 암호를 동기화할 Windows 기반 컴퓨터로 지정합니다. 그런 다음 해당 파일을 다른 UNIX 클라이언트로 복사합니다. 이 파일의 설정에 대한 자세한 내용은 sso.conf를 사용하여 UNIX 기반 컴퓨터에서 암호 동기화 구성을 참조하십시오.

  • 사용자가 yppasswd 명령을 사용하여 암호를 변경할 수 있도록 각 UNIX 컴퓨터를 구성합니다. 이렇게 하려면 UNIX 컴퓨터의 yppasswd 이진 파일을 passwd 이진 파일의 링크로 바꾼 다음 /etc/nsswitch.conf 파일을 편집하여 passwd 및 shadow 줄을 다음으로 대체합니다.

    passwd:  files [NOTFOUND=continue] nis
shadow:  files [NOTFOUND=continue] nis
    이렇게 하면 yppasswd 명령을 실행해서 암호를 변경할 때 암호 변경을 위해 실행되는 실제 파일이 passwd 이진 파일이 됩니다. 사용자의 passwd 항목을 로컬 passwd 및 shadow 파일에서 찾을 수 없을 경우 NIS 암호가 대신 변경됩니다.

목차