Doporučené postupy při migraci domény služby NIS (Network Information Service)

  • Před vlastní migrací si důkladně projděte téma Kontrolní seznam: Migrace map služby NIS do služby Active Directory Domain Services v nápovědě ke službě Správa identit pro systém UNIX.

  • Před spuštěním průvodce se rozhodněte, zda má doména, kterou migrujete, zůstat oddělenou doménou nebo zda má být sloučena s jinou doménou na serveru pro službu NIS.

  • Pokud mapy migrujete samostatně, měli byste před migrováním map group nebo shadow migrovat mapy passwd. To zajišťuje, aby byla hesla systému UNIX uložena správně.

  • Před spuštěním průvodce strukturujte své nestandardní mapy. Konkrétně byste měli znát oddělovače polí, klíčové pole, název souboru a název mapy. K nestandardním mapám se přistupuje pouze pomocí jednoho klíče.

  • Nejdříve použijte v Průvodci migrací dat služby NIS možnost Neprovádět migraci (pouze protokol), aby Server pro službu NIS testoval všechny kroky migrace, ale neprovedl vlastní migraci dat. Po analyzování souborů protokolu a rozhodnutí, jak zpracovat konflikty map (pokud k nějakým dojde), spusťte průvodce znovu a vyberte možnost Migrovat a protokolovat.

  • Po prozkoumání protokolu odstraňte před migrací dat všechny potíže. Pokud již stejné jméno uživatele v doméně systému Windows i služby NIS existuje, určete, zda osobu představují duplicitní uživatelská jména. Pokud ne, změňte uživatelské jméno jednoho z uživatelů. Pokud uživatelská jména odkazují na stejnou osobu, určete, zda jsou vlastnosti systému UNIX stejné. Pokud ne, určete, které jsou správné. Potom můžete zachovat existující položku v rámci služby Active Directory Domain Services (AD DS) nebo ji přepsat informacemi v mapě systému UNIX.

  • Pokud je při vlastní migraci hlášen konflikt, přestože při testovací migraci žádný hlášen nebyl, je možné, že dochází ke konfliktům přímo v rámci samotných map služby NIS. Pokud spustíte průvodce s vybranou možností Pouze protokol, ohlašuje pouze konflikty mezi mapami služby NIS a službou AD DS, nikoli konflikty v rámci samotných map služby NIS. Pokud ke konfliktu dojde během vlastní migrace, vyřešte konflikt v mapách služby NIS a potom migrujte data služby NIS, která nebyla migrována, pomocí možnosti příkazového řádku nis2ad –r yes.

Udržování podřízených serverů v aktualizované podobě

Pokud je vaše doména NIS aktivní (tj., často dochází ke změnám domény), měli byste zvýšit četnost, se kterou Server pro službu NIS kontroluje změny. Tím je zajištěno, aby byly podřízené servery se systémem UNIX aktualizovány co nejdříve poté, co je změna zaregistrována na hlavním serveru. K okamžité aktualizaci podřízených serverů můžete také použít příkaz Zkontrolovat aktualizace v podokně Akce modulu snap-in Správa identit pro systém UNIX.

Nemigrujte doménu NIS do více než jedné aktivní domény Active Directory

Přestože můžete migrovat doménu NIS do počítačů se serverem pro službu NIS ve více než jedné doméně se systémem Windows, nedoporučujeme takovou migraci provádět, protože změny provedené v jedné doméně se systémem Windows nejsou replikovány do další domény.

Doporučte uživatelům, aby ke změněn hesel služby NIS nepoužívali příkaz yppasswd

Uživatelé by si měli měnit hesla změnou svého hesla systému Windows. Server pro službu NIS změní heslo služby NIS tak, aby se shodovalo.

Server pro službu NIS plně nepodporuje nástroj yppasswd dostupný v systémech UNIX. Pokud uživatel spustí nástroj yppasswd, Server pro službu NIS změní heslo uživatele v mapě passwd služby NIS. Vzhledem k tomu, že nástroj yppasswd heslo před odesláním hlavnímu serveru NIS šifruje, nebude moci Server pro službu NIS získat heslo v prostém textu pro nastavení hesla uživatele systému Windows. Následně tak dojde k tomu, že hesla uživatele pro systém Windows a UNIX nebudou stejná. Nástroj yppasswd navíc představuje bezpečnostní riziko, protože přenáší stará hesla ve formátu prostého textu. Vzhledem k tomu, že staré heslo uživatele také může být aktuálním heslem uživatele systému Windows, mohlo by dojít k tomu, že bude heslo uživatele systému Windows dostupné pro neoprávněné uživatele sítě.

Pomocí funkce Synchronizace hesel můžete poskytnout uživatelům metodu pro změnu jejich hesel NIS pomocí příkazu yppasswd. Další informace naleznete v tématu Synchronizace hesel s doménou služby NIS v nápovědě ke službě Správa identit pro systém UNIX.

Další odkazy


Obsah