Principy funkce Synchronizace hesel
Funkce Synchronizace hesel usnadňuje integraci serverů se systémy Windows a UNIX zjednodušením procesu údržby zabezpečených hesel v obou prostředích. Uživatelé se vyhnou obtížím spojeným s údržbou různých hesel u účtů v systémech Windows a UNIX nebo nutnosti pamatovat na změny hesla, ať již se používá kdekoli. Funkce Synchronizace hesel zajišťuje, že kdykoli se změní heslo uživatele v počítači nebo doméně se systémem Windows, může se toto heslo také automaticky změnit na všech hostitelích UNIX, na kterých má uživatel účet. Funkci lze rovněž nakonfigurovat na automatickou změnu hesla uživatele v systému Windows, když se změní jeho heslo v systému UNIX.
Díky tomu lze hesla spravovat z jediného počítače, což zjednodušuje práci správcům i jednotlivým uživatelům. Funkce Synchronizace hesel je také flexibilní: správci mohou z procesu synchronizace vyloučit konkrétní uživatele a počítače. Funkce může synchronizovat hesla v samostatných počítačích se systémem Windows (například v počítačích se systémem Windows 2000 Server, které nepatří do domény), nebo v celé doméně založené na systému Windows. Podobně lze tuto funkci použít ke správě hesel na jednotlivých hostitelích UNIX, nebo ve všech počítačích v doméně služby NIS (Network Information Service).
Jak funguje funkce Synchronizace hesel
Funkce Synchronizace hesel šíří hesla bezpečně, a to tak, že je přenáší pouze v zašifrované podobě přes sokety TCP/IP. Tím se eliminuje potřeba používat pro vzdálenou správu hesel nezabezpečené metody (jako jsou skripty). Rovněž platí, že hesla se synchronizují okamžitě. To znamená, že na rozdíl od metod, jako je například nástroj rdist, který šíření hesel dávkuje, nedochází k žádné zaznamenatelné prodlevě mezi časem změny hesla v jednom systému a časem změny ve všech dalších ovlivněných systémech. Tím se předchází zmatku a nejasnostem u aktivních uživatelů. A co je důležité, je vyloučeno potenciální bezpečnostní riziko, pokud je potřeba změnou hesla zablokovat přístup uživatele k síti. Aby se dále zvýšilo zabezpečení sítě, můžete pro každou dvojici tvořenou počítačem se systémem Windows a hostitelem UNIX použít jiný šifrovací klíč.
Funkce Synchronizace hesel je kombinací třech softwarových součástí:
-
služby Synchronizace hesel spuštěné v jednom nebo více počítačích se systémem Windows,
-
démona funkce Synchronizace hesel spuštěného v jednom nebo více počítačích se systémem UNIX,
-
modulu PAM (pluggable authentication module) funkce Synchronizace hesel nainstalovaného v jednom nebo více počítačích se systémem UNIX.
Pokud je funkce Synchronizace hesel nakonfigurována na synchronizaci ze systému Windows do systému UNIX a v počítači se systémem Windows, na kterém je spuštěna, se změní heslo, určí tato služba, zda má být heslo uživatele synchronizováno v počítačích se systémem UNIX. Pokud ano, služba heslo zašifruje a odešle je do démona funkce Synchronizace hesel v každém počítači, se kterým je počítač se systémem Windows nakonfigurován na synchronizaci. Démon potom heslo dešifruje a změní heslo v hostiteli UNIX. Pokud hostitel UNIX představuje hlavní server služby NIS a je odpovídajícím způsobem nakonfigurován, spustí démon také příkaz make, čímž rozšíří změnu hesla v celé doméně služby NIS.
Pokud je funkce Synchronizace hesel nakonfigurována na synchronizaci ze systému UNIX do systému Windows, budou hesla, která se změní na hostitelích UNIX, synchronizována v počítačích a doménách se systémem Windows. Modul PAM funkce Synchronizace hesel to umožňuje tím, že zachytí žádost o změnu hesla na hostiteli UNIX, zašifruje heslo a potom žádost odešle do služby Synchronizace hesel spuštěné v počítačích se systémem Windows, se kterými je nakonfigurován na synchronizaci.