Aanbevolen procedures

  • Wachtwoordsynchronisatie op de juiste domeincontrollers installeren  Wachtwoordsynchronisatie moet met het oog op een consistente synchronisatie van domeinwachtwoorden met UNIX-wachtwoorden op de primaire domeincontroller worden geïnstalleerd. In het geval van een Windows 2000-domein moet Wachtwoordsynchronisatie op alle domeincontrollers binnen het desbetreffende domein worden geïnstalleerd.

    • Als u een domeincontroller aan een domein toevoegt, moet u Wachtwoordsynchronisatie zo snel mogelijk op de nieuwe domeincontroller installeren en afstemmen op de andere domeincontrollers.

    • Als u Wachtwoordsynchronisatie van een domeincontroller wilt verwijderen, moet u de server degraderen tot een lidserver voordat u Wachtwoordsynchronisatie verwijdert.

  • Zorg dragen voor een consistent wachtwoordbeleid   Wanneer u in wachtwoordsynchronisatie in één richting voorziet, moet u er zorg voor dragen dat het wachtwoordbeleid op de computer vanaf welke er wachtwoorden worden gesynchroniseerd op alle gebieden ten minste net zo restrictief is als het beleid op de computer waarnaar wachtwoorden worden gesynchroniseerd. Wanneer u bijvoorbeeld synchronisatie van Windows naar UNIX instelt, moet het Windows-wachtwoordbeleid ten minste net zo restrictief zijn als het beleid op de UNIX-computers waarmee de desbetreffende computer wachtwoorden synchroniseert. Als u voorziet in synchronisatie in twee richtingen, moet het wachtwoordbeleid op beide systemen even restrictief zijn. Een inconsistent wachtwoordbeleid kan resulteren in een mislukte synchronisatie in gevallen waarin een gebruiker een wachtwoord op het minder restrictieve systeem wijzigt of in gevallen waarin het wachtwoord op het restrictievere systeem wordt gewijzigd, zelfs wanneer het wachtwoord niet overeenstemt met het beleid van het systeem.

    Zorg ervoor dat Windows-gebruikers op de hoogte zijn van speciale wachtwoordbeperkingen op UNIX-systemen waarmee hun wachtwoorden worden gesynchroniseerd. Sommige versies van UNIX bieden bijvoorbeeld ondersteuning voor wachtwoorden met een maximale lengte van acht tekens. Het is met het oog op een maximale compatibiliteit met het standaard Windows-wachtwoordbeleid en dergelijke UNIX-beperkingen raadzaam om wachtwoorden te gebruiken die niet langer zijn dan zeven of acht tekens, tenzij u zeker weet dat alle UNIX-systemen ondersteuning bieden voor langere wachtwoorden.

  • Wachtwoordsynchronisatie zo configureren dat er wordt voorzien in een maximale beveiliging voor de wachtwoorden van uw gebruikers

    Volg de volgende aanbevelingen als u in een optimale veiligheid wilt voorzien:

    • Vermeld nadrukkelijk de gebruikers van wie de wachtwoorden worden gesynchroniseerd  Het is met het oog op een maximale controle ten aanzien van welke gebruikers wachtwoorden kunnen synchroniseren verstandig om het trefwoord ALL niet te gebruiken met de lijst SYNC_USERS in het bestand sso.conf op de UNIX host. Het is in plaats daarvan raadzaam om elke gebruiker bij wie wachtwoordsynchronisatie is geblokkeerd of toegestaan nadrukkelijk te vermelden. Maak op de op Windows gebaseerde computer waarop Wachtwoordsynchronisatie wordt uitgevoerd de groep PasswordPropAllow en voeg de accounts toe van gebruikers van wie u wachtwoorden wilt synchroniseren. Zie Wachtwoordsynchronisatie voor gebruikersaccounts beheren.

    • Synchroniseer geen wachtwoorden voor UNIX-accounts die zijn uitgeschakeld  Onder sommige versies van UNIX leidt het wijzigen van het wachtwoord van een uitgeschakeld gebruikersaccount ertoe dat het account wordt geactiveerd. Hieruit volgt dat wanneer een gebruiker beschikt over een uitgeschakeld account op een UNIX-computer die is geconfigureerd voor het synchroniseren van wachtwoorden, deze gebruiker of een beheerder het UNIX-account kan activeren door het Windows-wachtwoord van de gebruiker te wijzigen. U kunt dit voorkomen door de groep PasswordPropDeny te gebruiken voor het blokkeren van de synchronisatie van uitgeschakelde UNIX-accounts.

      Daarnaast moet een beheerder wanneer deze een UNIX-account uitschakelt, de vermelding SYNC_USERS in het bestand sso.conf gebruiken, zodat wachtwoordsynchronisatie voor dit account wordt geblokkeerd.

    • Vermijd het synchroniseren van beheerderswachtwoorden  Het is raadzaam om de wachtwoorden van leden van de groep van Windows-beheerders en de wachtwoorden van UNIX-superuseraccounts of UNIX-rootaccounts niet te synchroniseren.

    • Voer de Windows Server 2003 Service Pack 1 (SP1)-compatibiliteitscontrole uit  wanneer u op het tabblad Configuratie van het dialoogvenster Eigenschappen van Wachtwoordsynchronisatie de optie Wachtwoordsynchronisatie van Windows naar NIS (Active Directory) inschakelt. Als u de beveiliging van gebruikersaccountwachtwoorden in uw onderneming wilt beschermen, is het bijzonder verstandig om toe te staan dat alle domeincontrollers in het forest zonder Windows Server 2003 SP1 of een latere versie door Wachtwoordsynchronisatie worden geïdentificeerd.

      U wordt door Wachtwoordsynchronisatie gevraagd of u de compatibiliteitscontrole wilt toestaan wanneer u in de sectie Wachtwoordsynchronisatie van Windows naar NIS (Active Directory) de optie Inschakelen selecteert. Wanneer Windows Server 2003 SP1 of een latere versie op alle domeincontrollers in een forest wordt geïnstalleerd, wordt de kans dat gebruikerswachtwoordhashes onder de ogen van onbevoegde gebruikers komen enorm gereduceerd. Wanneer Windows Server 2003 SP1 niet op alle domeincontrollers in een forest is geïnstalleerd, kan elke geverifieerde gebruiker binnen het domein de wachtwoordhash weergeven van elke UNIX-gebruiker van wie het account niet naar Active Directory Domain Services (AD DS) is gemigreerd.

      Wanneer een onbevoegde gebruiker de wachtwoordhash voor een op UNIX gebaseerd gebruikersaccount in AD DS kraakt, is het op Windows gebaseerde wachtwoord voor het account niet langer veilig.

Wanneer Wachtwoordsynchronisatie is geïnstalleerd, worden de leden van de lokale groep Administrators en de groep Domeinadministrators toegevoegd aan de groep PasswordPropDeny, zodat hun wachtwoorden niet kunnen worden gesynchroniseerd. Als u aan een van deze groepen een gebruiker toevoegt, moet u deze ook toevoegen aan de groep PasswordPropDeny.

Wijzig op alle op UNIX gebaseerde systemen de instructie SYNC_USERS in het bestand sso.conf, zodat wordt voorkomen dat de wachtwoorden van superusers kunnen worden gesynchroniseerd.

  • Maak geen gebruik van het standaardpoortnummer en de standaardversleutelingssleutel  Wanneer u het standaardpoortnummer en de standaardversleutelingssleutel gebruikt, kan een kwaadwillende een vervalste UNIX-host instellen om uw wachtwoorden te achterhalen. U moet het poortnummer en de versleutelingssleutel die worden gebruikt voor het synchroniseren van wachtwoorden met even veel zorg beschermen als de wachtwoorden zelf.

  • Beveilig het bestand sso.conf  Het bestand sso.conf op de afzonderlijke UNIX-host bevat belangrijke configuratie-informatie die kan worden gebruikt om de beveiliging in het geding te brengen. Het wordt aangeraden om het modusbitmasker van het bestand in te stellen op 600.

  • Zorg ervoor dat de map die door TEMP_FILE_PATH wordt aangeduid op de juiste wijze wordt beveiligd  De tijdelijke bestanden die door Wachtwoordsynchronisatie op UNIX-hosts worden gemaakt, bevatten informatie die door een kwaadwillende kan worden gebruikt om de beveiliging van het systeem in het geding te brengen. Stel daarom voor deze map alleen-lezen toegang in voor het root-account. Stel daarnaast in dat deze map niet toegankelijk is voor andere gebruikers.

  • Zorg ervoor dat logboekbestanden op de juiste wijze zijn beveiligd  Wachtwoordsynchronisatie maakt op de UNIX-host gebruik van de syslogd-daemon om berichten vast te leggen die het resultaat zijn van synchronisatiebewerkingen. De logboekbestanden die hieruit voortvloeien, bevatten informatie, zoals de namen van gebruikers van wie de wachtwoorden worden gesynchroniseerd, informatie over met welke computers deze worden gesynchroniseerd, informatie over fouten op het gebied van het doorgeven, enzovoort. Deze logboekbestanden moeten worden beveiligd, zodat deze alleen door beheerders kunnen worden weergegeven.

  • Start de Wachtwoordsynchronisatie-daemon opnieuw nadat u de daemonconfiguratie hebt gewijzigd  Wanneer u wijzigingen in het configuratiebestand van de Wachtwoordsynchronisatie-daemon (sso.conf) aanbrengt, moet u de daemon stoppen en opnieuw starten voordat de configuratiewijzigingen van kracht worden.

  • Configureer systemen zo dat hoofdlettergevoelige gebruikersnamen correct worden afgehandeld  Controleer of de optie CASE_IGNORE_NAME in het bestand sso.conf is ingesteld op 1 (de standaardinstelling), tenzij u via een bijzonder strikt beleid afdwingt dat de hoofdletters en de kleine letters en de spelling van Windows- en UNIX-gebruikersnamen met elkaar overeenkomen. UNIX-gebruikersnamen zijn hoofdlettergevoelig en worden daarom mogelijk niet correct gesynchroniseerd als de gebruikersnamen niet exact met elkaar overeenkomen omdat de Wachtwoordsynchronisatie-daemon in een dergelijk geval de Windows-gebruikersnaam niet aan de bijbehorende UNIX-gebruikersnaam kan koppelen.

  • Zorg ervoor dat de naam en het type van het wachtwoordbestand consistent zijn  Wanneer u de Wachtwoordsynchronisatie-daemon configureert, moet u controleren of het wachtwoordsbestandstype (in gesteld via USE_SHADOW) en de padnaam (ingesteld via by FILE_PATH) voor elkaar geschikt zijn. Op de meeste systemen geldt bijvoorbeeld dat optie FILE_PATH moet zijn ingesteld op /etc/passwd als USE_SHADOW is ingesteld op 0 (hetgeen aangeeft dat het passwd-bestand voor synchronisatie in aanmerking komt). De optie FILE_PATH moet echter op /etc/shadow worden ingesteld als USE_SHADOW is ingesteld op 1 (hetgeen aangeeft dat het shadow-bestand wordt gebruikt). (Op IBM AIX-systemen worden het volgende pad en de volgende shadow-bestandsnaam gebruikt: /etc/security/passwd.)

Inhoudsopgave