Grundlegendes zur Kennwortsynchronisierung
Die Kennwortsynchronisierung hilft bei der Integration von Windows- und UNIX-Netzwerken, indem der Prozess zur Verwaltung sicherer Kennwörter in beiden Umgebungen vereinfacht wird. Für Benutzer entfällt die Verwaltung verschiedener Kennwörter für ihre Windows- und UNIX-Konten sowie die Änderung des Kennworts nach jeder Verwendung. Wenn die Kennwortsynchronisierung eingerichtet ist, wird bei jeder Änderung eines Benutzerkennworts auf einem Computer oder einer Domäne auf Windows-Basis dieses Kennwort auch automatisch auf jedem UNIX-Host geändert, auf dem der Benutzer ein Konto hat. Die Kennwortsynchronisierung kann auch so konfiguriert werden, dass bei einer Änderung des UNIX-Kennworts eines Benutzers automatisch auch dessen Windows-Kennwort geändert wird.
Kennwörter können von einem einzelnen Computer aus verwaltet werden, womit die Kennwortverwaltung sowohl für Administratoren als auch für die einzelnen Benutzer vereinfacht wird. Die Kennwortsynchronisierung ist darüber hinaus flexibel: Administratoren können bestimmte Benutzer und Computer von der Synchronisierung ausschließen. Mit der Kennwortsynchronisierung können Kennwörter auf eigenständigen, Windows-basierten Computern (wie z. B. Computer unter Windows 2000 Server, die zu keiner Domäne gehören) oder für eine ganze Windows-basierte Domäne synchronisiert werden. Ebenso kann die Kennwortsynchronisierung für die Verwaltung von Kennwörtern auf einzelnen UNIX-Hosts oder auf allen Computern in einer NIS-Domäne (Network Information Service, Netzwerkinformationsdienst) verwendet werden.
Funktionsweise der Kennwortsynchronisierung
Die Kennwortsynchronisierung sorgt für die sichere Übermittlung von Kennwörtern, da nur verschlüsselte Kennwörter über TCP/IP-Sockets übertragen werden. Auf unsichere Methoden (wie z. B. Skripts) für die Remoteverwaltung von Kennwörtern kann so verzichtet werden. Die Kennwörter werden sofort synchronisiert. Im Gegensatz zu Methoden wie rdist, bei der die Kennwortverteilung per Batchverarbeitung erfolgt, gibt es bei der Kennwortsynchronisierung keine nennenswerte Verzögerung zwischen der Änderung eines Kennworts auf einem System und der Änderung auf allen anderen betroffenen Systemen. Somit werden Verwirrung und Frustration bei den aktiven Benutzern vermieden. Und was besonders wichtig ist: Ein potenzielles Sicherheitsrisiko wird ausgeschaltet, wenn ein Kennwort geändert werden muss, um den Zugriff eines Benutzers auf das Netzwerk zu sperren. Um die Sicherheit im Netzwerk noch weiter zu erhöhen, können für jedes Paar aus Windows-basiertem Computer und UNIX-Host verschiedene Verschlüsselungsschlüssel verwendet werden.
Die Kennwortsynchronisierung ist eine Kombination der folgenden drei Softwarekomponenten:
-
Der Kennwortsynchronisierungsdienst, der auf mindestens einem Windows-basierten Computer ausgeführt wird
-
Der Daemon für die Kennwortsynchronisierung, der auf mindestens einem UNIX-Computer ausgeführt wird
-
Das Modul zur austauschbaren Authentifizierung (Pluggable Authentication Module, PAM) für die Kennwortsynchronisierung, das auf mindestens einem UNIX-Computer installiert ist
Wenn die Kennwortsynchronisierung für die Synchronisierung von Windows zu UNIX konfiguriert ist und wenn ein Kennwort auf einem Windows-basierten Computer geändert wird, auf dem die Kennwortsynchronisierung ausgeführt wird, dann stellt der Kennwortsynchronisierungsdienst fest, ob das Kennwort des Benutzers auf den UNIX-Computern synchronisiert werden soll. Wenn das der Fall ist, verschlüsselt der Dienst das Kennwort und sendet es an den Daemon für die Kennwortsynchronisierung auf jedem Computer, der für die Synchronisierung mit dem Windows-basierten Computer konfiguriert ist. Der Daemon entschlüsselt dann das Kennwort und ändert das Kennwort auf dem UNIX-Host. Wenn es sich beim UNIX-Host um einen NIS-Masterserver handelt, der entsprechend konfiguriert ist, dann führt der Daemon auch make aus, um die Kennwortänderung in der gesamten NIS-Domäne zu verteilen.
Wenn die Kennwortsynchronisierung für die Synchronisierung von UNIX zu Windows konfiguriert ist, dann werden Kennwörter, die auf UNIX-Hosts geändert werden, auf Windows-basierten Computern und Domänen synchronisiert. Dies wird durch PAM für die Kennwortsynchronisierung ermöglicht, das die Anforderung zur Kennwortänderung auf dem UNIX-Host abfängt, das Kennwort verschlüsselt und die Anforderung zur Kennwortänderung dann an den Kennwortsynchronisierungsdienst sendet. Dieser wird auf den Windows-basierten Computern ausgeführt, die für die Synchronisierung konfiguriert sind.