Рекомендации по переносу NIS-домена

  • Перед выполнением фактического переноса ознакомьтесь с разделом «Контрольный список: перенос NIS-сопоставлений в доменные службы Active Directory» в справке диспетчера удостоверений для UNIX.

  • Перед запуском мастера определите, следует ли сохранить перенесенный домен в виде отдельного домена или объединить с другим доменом сервера для NIS.

  • Если сопоставления переносятся по отдельности, сначала следует перенести сопоставления passwd, а затем сопоставления group или shadow. Это обеспечит надлежащее сохранение паролей UNIX.

  • Перед запуском мастера определите структуру нестандартных сопоставлений. В частности, потребуется указать разделители полей, поля ключей и имя сопоставления. Для доступа к нестандартным сопоставлениям используется только один ключ.

  • Сначала воспользуйтесь параметром по умолчанию Не переносить (только запись в журнал) мастера переноса данных NIS, чтобы сервер для NIS выполнил все этапы переноса в режиме тестирования (без фактического переноса данных). Проанализировав файлы журнала и выбрав способ разрешения выявленных конфликтов, запустите мастер повторно с выбранным параметром Переносить и записывать в журнал.

  • После анализа журнала, прежде чем выполнять перенос данных, устраните все зарегистрированные ошибки. Если в доменах Windows и NIS присутствуют одинаковые имена пользователей, определите, представляют ли они одного и того же пользователя. Если нет, измените имя для одного из пользователей. Если имена относятся к одному и тому же пользователю, проверьте их свойства UNIX. Если они не совпадают, определите, какие из них верны. Можно сохранить существующую запись в Службы домена Active Directory (Доменные службы Active Directory) либо заменить ее данными сопоставления UNIX.

  • Если в процессе тестирования не было выявлено ошибок, однако в ходе фактического переноса данных возникает конфликт, он может относиться к самим NIS-сопоставлениям. При запуске с выбранным параметром Только запись в журнал мастер сообщает только о конфликтах между NIS-сопоставлениями и Доменные службы Active Directory, но не регистрирует конфликты, возникающие в самих NIS-сопоставлениях. Если в ходе фактического переноса возникает конфликт, устраните его в NIS-сопоставлениях, а затем выполните перенос данных NIS, которые не были перенесены, с помощью команды nis2ad –r yes.

Обновление подчиненных серверов

В активном домене (в котором часто происходят изменения) необходимо увеличить частоту проверок на наличие изменений, выполняемых сервером для NIS. Это уменьшит интервал времени между регистрацией изменения на главном сервере и обновлением подчиненных серверов UNIX. Также можно использовать команду Проверить наличие обновлений в области Действия оснастки службы управления идентификацией UNIX для немедленного обновления подчиненных серверов.

Не переносите NIS-домен в несколько доменов Active Directory

Несмотря на то что NIS-домен можно перенести на компьютеры с сервером для NIS в нескольких доменах Windows, делать этого не рекомендуется, поскольку изменения, вносимые в одном домене Windows, не реплицируются на другие домены.

Порекомендуйте пользователям не применять средство yppasswd для изменения паролей NIS

Пароль NIS нужно изменять путем смены пароля Windows. При этом сервер для NIS изменит пароль NIS соответствующим образом.

В сервере для NIS отсутствует полная поддержка программы yppasswd, доступной в системах UNIX. Когда пользователь запускает программу yppasswd, сервер для NIS изменяет пароль пользователя в сопоставлении passwd. Поскольку программа yppasswd шифрует новый пароль перед отправкой на главный NIS-сервер, сервер для NIS не может получить пароль в формате обычного текста, что необходимо для установки пароля пользователя в Windows. Следовательно, пароли Windows и UNIX будут отличаться. Кроме того, программа yppasswd представляет угрозу для системы безопасности, поскольку передает устаревшие пароли в виде обычного текста. Поскольку старый пароль может совпадать с текущим паролем пользователя в Windows, это делает пароль Windows уязвимым для использования непредусмотренными пользователями в сети.

Синхронизация паролей предоставляет пользователям возможность изменения паролей NIS с помощью команды yppasswd. Дополнительные сведения см. в разделе «Синхронизация паролей с NIS-доменом» в справке диспетчера удостоверений для UNIX.

См. также


Содержание