Synchronizace hesel s doménou služby NIS
Funkce Synchronizace hesel umožňuje zajistit jednosměrnou (ze systému Windows do systému UNIX) a obousměrnou synchronizaci hesel mezi doménami se systémem Windows a doménami služby NIS (Network Information Service). Tuto funkci lze nastavit, ať již je na hlavním serveru domény služby NIS spuštěn operační systém UNIX, nebo se jedná o počítač se systémem Windows, ve kterém je spuštěn server pro službu NIS.
Pokud je na hlavním serveru služby NIS spuštěn operační systém UNIX, stačí k nastavení jednosměrné synchronizace nainstalovat funkci Synchronizace hesel ve všech počítačích se systémem Windows (například na řadičích domény), ze kterých chcete synchronizovat hesla, a potom nainstalovat démona jednotného přihlášení (SSOD) na hlavním serveru služby NIS. Potom upravíte soubor sso.conf na hlavním serveru služby NIS následujícím způsobem:
-
Nastavte hodnotu USE_NIS na 1.
-
Nastavte hodnotu NIS_UPDATE_PATH zadáním umístění souboru makefile služby NIS.
Tím souboru SSOD dáte pokyn ke spuštění souboru makefile a předání změněných map pokaždé, když je z domény systému Windows obdržena žádost o změnu hesla. Další informace a pokyny naleznete v tématu Instalace démona funkce Synchronizace hesel v počítačích se systémem UNIX.
Pokud je hlavním serverem pro doménu služby NIS server pro službu NIS, můžete jednosměrnou synchronizaci ze systému Windows do systému UNIX nastavit výběrem položky Povolit v oblasti Synchronizace hesel ze systému Windows do služby NIS (Active Directory) na kartě Konfigurace v dialogovém okně Synchronizace hesel – vlastnosti. Protože povolení synchronizace hesel ze systému Windows do služby NIS (Active Directory) může hesla vystavit většímu riziku neoprávněného použití, budete po výběru položky Povolit vyzváni ke spuštění kontroly kompatibility u všech řadičů domény v doménové struktuře, aby se ověřilo, zda obsahují minimální funkce zabezpečení pro ochranu uživatelských hesel.
Potřebujete-li synchronizovat hesla s počítači se systémem UNIX, které nejsou součástí domény služby NIS, nainstalujte funkci Synchronizace hesel v řadičích domény služby Active Directory Domain Services se systémem Windows a nakonfigurujte počítače se systémem UNIX způsobem popsaným dříve v tomto tématu.
Synchronizaci ze systému UNIX do systému Windows lze nastavit u obou typů domén se službou NIS, a to provedením následujícího postupu.
-
Pokud je na hlavním serveru služby NIS spuštěn operační systém UNIX, nakonfigurujte server na jednosměrnou synchronizaci způsobem popsaným dříve v tomto tématu.
-
Nainstalujte funkci Synchronizace hesel na všechny řadiče domény. Pokud je na hlavním serveru služby NIS spuštěn operační systém UNIX, nakonfigurujte funkci Synchronizace hesel na serverech se systémem Windows na obousměrnou synchronizaci s hlavním serverem. Nakonec přidejte jednotlivé klienty služby NIS do seznamu počítačů, se kterými funkce Synchronizace hesel pracuje, a přitom nezapomeňte povolit synchronizaci ze systému UNIX do systému Windows a zakázat synchronizaci ze systému Windows do systému UNIX. Synchronizace ze systému Windows do systému UNIX by měla být povolena pouze u hlavního serveru služby NIS. Další informace o přidávání a konfiguraci počítačů naleznete v tématech Přidání počítačů do procesu synchronizace nebo jejich odebrání a Nastavení vlastností synchronizace specifických pro počítač.
-
Nainstalujte modul PAM (pluggable authentication module) funkce Synchronizace hesel v každém klientovi služby NIS a potom zkopírujte soubor sso.conf z hlavního serveru do adresáře /etc těchto klientů. Další informace naleznete v tématu Instalace modulu PAM funkce Synchronizace hesel.
-
Pokud je hlavním serverem služby NIS počítač se systémem Windows, ve kterém běží server pro službu NIS, zkopírujte soubor Sso.cfg do jednoho z klientů služby NIS, nastavte položku SYNC_HOSTS zadáním uvedeného počítače serveru pro službu NIS jako počítače, se kterým se mají synchronizovat hesla, a potom soubor zkopírujete do ostatních klientů systému UNIX. Další informace o položkách nastavení v tomto souboru naleznete v části Konfigurace funkce Synchronizace hesel v počítačích se systémem UNIX pomocí souboru sso.conf.
-
Nakonfigurujte každý počítač se systémem UNIX tak, aby uživatelé mohli měnit svá hesla pomocí příkazu yppasswd. Dosáhnete toho nahrazením binárního souboru yppasswd v počítači se systémem UNIX odkazem na binární soubor passwd a následnou úpravou souboru /etc/nsswitch.conf tak, aby byly řádky passwd a shadow nahrazeny následujícím zadáním:
Pokud poté uživatel spustí příkaz yppasswd s cílem změnit své heslo, bude ve skutečnosti za účelem změny hesla spuštěn binární soubor passwd. Pokud položka passwd daného uživatele není nalezena v místních souborech passwd a shadow, změní se místo toho heslo služby NIS.passwd: files [NOTFOUND=continue] nis shadow: files [NOTFOUND=continue] nis