Metodtips för Lösenordssynkronisering

• Installera Lösenordssynkronisering på rätt domänkontrollanter  För att domänlösenord ska synkroniseras korrekt med UNIX-lösenord måste Lösenordssynkronisering installeras på primärdomänkontrollanten, och om det rör sig om en Windows 2000-domän på alla domänkontrollanter i domänen.
  
  
  • Om du lägger till en domänkontrollant i en domän måste du installera Lösenordssynkronisering på de nya domänkontrollanterna så fort som möjligt och konfigurera det så att det matchar de andra domänkontrollanterna.
    
    
  • Om du vill ta bort Lösenordssynkronisering från en domänkontrollant måste du degradera servern till en medlemsserver innan du avinstallerar Lösenordssynkronisering.
    
    
• Säkerställ konsekventa lösenordsprinciper   Om du bara ska tillhandahålla enkelriktad synkronisering av lösenord bör du se till att lösenordsprinciperna på den dator som lösenorden ska synkroniseras från är minst lika restriktiva på alla områden som principerna på den dator som lösenorden ska synkroniseras till. Om du till exempel konfigurerar synkronisering från Windows till UNIX måste Windows-lösenordsprinciperna vara minst lika restriktiva som principerna på de UNIX-datorer som lösenorden ska synkroniseras med. Om du tillhandahåller dubbelriktad synkronisering måste lösenordsprinciperna vara lika restriktiva på båda systemen. Lösenordsprinciper som inte överensstämmer kan leda till att synkroniseringen inte fungerar när en användare ändrar ett lösenord på det mindre restriktiva systemet, eller också kan lösenordet ändras på det mer restriktiva systemet även om det inte stämmer överens med systemprinciperna.
  
  Se till att Windows-användare känner till alla speciella lösenordsbegränsningar på de UNIX-system som lösenorden ska synkroniseras med. Vissa UNIX-versioner stöder exempelvis en lösenordslängd på högst åtta tecken. För maximal kompatibilitet med standardlösenordsprinciperna i Windows och de här UNIX-begränsningarna bör lösenord därför bestå av sju eller åtta tecken såvida du inte är säker på att alla UNIX-system har stöd för längre lösenord.
  
  
• Konfigurera Lösenordssynkronisering för att ge högsta möjliga skydd för användarnas lösenord
  
  Följ dessa rekommendationer för optimal säkerhet:
  
  
  • Ange en lista med de användare vars lösenord ska synkroniseras  För att få bästa möjliga kontroll över vilka användare som kan synkronisera lösenorden, bör du inte använda nyckelordet ALL i listan SYNC_USERS i sso.conf på UNIX-värden. Ange i stället en lista med alla användare vars lösenordssynkronisering ska tillåtas eller blockeras. Skapa gruppen PasswordPropAllow på den Windows-baserade dator som kör Lösenordssynkronisering och lägg till konton för de användare vars lösenord du vill synkronisera. Mer information finns i Styra lösenordssynkronisering för användarkonton.
    
    
  • Synkronisera inte lösenord för inaktiverade UNIX-konton  I vissa UNIX-versioner aktiveras kontot när lösenordet för ett inaktiverat användarkonto ändras. Det innebär att om en användare har ett inaktiverat konto på en UNIX-dator som har konfigurerats för lösenordssynkronisering med en Windows-baserad dator, kan användaren eller en administratör aktivera UNIX-kontot genom att ändra användarens Windows-lösenord. Detta kan du förhindra genom att blockera synkronisering för inaktiverade UNIX-konton med PasswordPropDeny-gruppen.
    
    Administratören som inaktiverar ett UNIX-konto bör använda posten SYNC_USERS i sso.conf för att blockera lösenordssynkronisering för kontot.
    
    
  • Undvik synkronisering av administratörslösenord  Synkronisera inte lösenord för medlemmar av gruppen Administratörer i Windows eller lösenord för superanvändar- eller rotkonton i UNIX.
    
    
  • Utför Windows Server 2003 Service Pack 1 (SP1) kompatibilitetskontroll  när du aktiverar Lösenordssynkronisering från Windows till NIS (Active Directory) i dialogrutan Password Synchronization Properties på fliken Konfiguration. För att skydda användarkontons lösenord i företaget bör du tillåta Lösenordssynkronisering att identifiera alla domänkontrollanter i skogen som inte kör Windows Server 2003 SP1 eller senare.
    
    Du uppmanas att tillåta kompatibilitetskontroll när du markerar Aktivera under Lösenordssynkronisering från Windows till NIS (Active Directory). Risken att exponera hashvärden för användarlösenord för obehöriga användare minskar kraftigt om Windows Server 2003 SP1 eller en senare version är installerad på alla domänkontrollanter. Om Windows Server 2003 SP1 inte är den minsta funktionalitetsnivån för alla domänkontrollanter i en skog kan vilken autentiserad användare som helst på domänen visa lösenordshashen för vilken UNIX-användare som helst vars konto har migrerats till Active Directory-domäntjänster (AD DS).
    
    Om en obehörig användare knäcker lösenordshashen för ett UNIX-baserat användarkonto i AD DS är kontots Windows-baserade lösenord inte längre säkert.
    
    

När Lösenordssynkronisering är installerat läggs medlemmar i de lokala grupperna Administratörer och Domänadministratörer till i gruppen PasswordPropDeny, som förhindrar att deras lösenord synkroniseras. Om du lägger till en användare i gruppen Administratörer eller Domänadministratörer lägger du också till användaren i gruppen PasswordPropDeny.

Ändra satsen SYNC_USERS i sso.conf-filen på alla UNIX-baserade system för att förhindra att superanvändares lösenord synkroniseras.

• Använd inte standardportnumret och standardkrypteringsnyckeln  Om du behåller standardportnumret och standardkrypteringsnyckeln kan en obehörig användare lätt installera en manipulerad UNIX-värd och stjäla lösenord. Skydda portnumret och krypteringsnycklarna som används för att synkronisera lösenord lika noga som själva lösenorden.
  
  
• Skydda sso.conf-filen  Filen sso.conf på varje UNIX-värd innehåller viktig konfigurationsinformation som skulle kunna missbrukas för att äventyra säkerheten. Du rekommenderas att ange filens bitmaskläge till 600.
  
  
• Säkerställ att katalogen som identifieras av TEMP_FILE_PATH är ordentligt skyddad  Tillfälliga filer som skapats på UNIX-värdar av Lösenordssynkronisering innehåller information som kan användas av obehöriga för att äventyra systemsäkerheten. Därför bör du se till att endast root-kontot har läsbehörighet till kataloger i TEMP_FILE_PATH i sso.conf och att katalogerna inte är åtkomliga för andra användare.
  
  
• Se till att loggfilerna är ordentligt skyddade På UNIX-värden använder Lösenordssynkronisering en syslogd-daemon för att logga meddelanden som genereras från synkroniseringsåtgärder. Loggfilerna innehåller information i form av namn på användare vars lösenord ska synkroniseras och med vilka datorer, spridningsfel och så vidare. Loggfilerna bör därför skyddas så att bara administratörer kan visa dem.
  
  
• Starta om daemon för Lösenordssynkronisering när konfigurationen har ändrats  När du gör ändringar i konfigurationsfilen för daemon för Lösenordssynkronisering (sso.conf) måste du stoppa och starta om daemon för att ändringarna ska gälla.
  
  
• Konfigurera system så att skiftlägeskänslighet för namn hanteras korrekt  Om du inte noga tillämpar en princip som säkerställer att Windows- och UNIX-användarnamn ska matcha både beträffande stavning och skiftlägeskänslighet, bör du kontrollera att alternativet CASE_IGNORE_NAME i sso.conf-filen är inställt på 1 (standardvärdet). UNIX-användarnamn är skiftlägeskänsliga vilket innebär att lösenord kanske inte synkroniseras rätt om användarnamnen inte matchar exakt, eftersom daemon för Lösenordssynkronisering inte kan koppla ihop Windows-användarnamnet med motsvarande UNIX-användarnamn.
  
  
• Se till att lösenordets filtyp och namn stämmer överens  Se till att lösenordets filtyp (anges av USE_SHADOW) och sökvägsnamnet (anges av FILE_PATH) stämmer överens när du konfigurerar daemon för Lösenordssynkronisering. Om USE_SHADOW exempelvis är inställt på 0 (för att visa att passwd-filen används för synkronisering) ska, på de flesta system, alternativet FILE_PATH vara inställt på /etc/passwd. Och om USE_SHADOW är inställt på 1 (för att visa att shadow-filen används i stället) ska alternativet FILE_PATH vara /etc/shadow. (På IBM AIX-system är shadow-filens sökväg och namn /etc/security/passwd.)