Sincronización de contraseñas con un dominio NIS
Mediante la sincronización de contraseña, puede permitir la sincronización de contraseña de una dirección (Windows a UNIX) y de dos direcciones entre dominios de Windows y dominios NIS. Puede hacer esto con independencia de si el servidor maestro del dominio NIS se está ejecutando en un sistema operativo basado en UNIX o de si se trata de un equipo basado en Windows en el que se ejecuta Servidor para NIS.
Si el servidor maestro NIS está ejecutando un sistema operativo basado en UNIX, todo lo que se precisa para facilitar la sincronización de una dirección es instalar la sincronización de contraseña en todos los equipos basados en Windows (por ejemplo, en los controladores de dominio) desde los que desea sincronizar contraseñas y, a continuación, instalar el demonio de inicio de sesión único (SSOD) en el servidor maestro NIS. A continuación, modifique el archivo sso.conf en el servidor maestro NIS para hacer los cambios siguientes:
-
Establezca USE_NIS como 1.
-
Establezca NIS_UPDATE_PATH para especificar la ubicación del archivo MAKE de NIS.
Esto indica al SSOD que ejecute el archivo MAKE e inserte las asignaciones cambiadas siempre que se reciba una solicitud de cambio de contraseña del dominio de Windows. Para obtener más información e instrucciones, vea Instalar el demonio de sincronización de contraseña en equipos basados en UNIX.
Si Servidor para NIS es el servidor maestro para el dominio NIS, puede facilitar la sincronización de contraseña de una dirección de Windows a UNIX seleccionando Enable en el área Windows to NIS (Active Directory) password synchronization de la ficha Configuration del cuadro de diálogo Password Synchronization Properties. Dado que habilitar la sincronización de contraseña de Windows a NIS (Active Directory) puede exponer las contraseñas a un riesgo mayor de uso no autorizado, si selecciona Enable, se le solicitará que ejecute una comprobación de compatibilidad de todos los controladores de dominio del bosque con el fin de que pueda cerciorarse de que cumplen los requisitos mínimos de seguridad para proteger las contraseñas de usuario.
Si necesita sincronizar contraseñas con equipos UNIX que no forman parte del dominio NIS, instale la sincronización de contraseña en controladores de dominio Servicios de dominio de Active Directory basados en Windows y configure los equipos UNIX del modo descrito anteriormente en este tema.
Puede proporcionar la sincronización de UNIX a Windows para ambos tipos de dominios NIS realizando los pasos siguientes:
-
Si el servidor maestro NIS está ejecutando un sistema operativo basado en UNIX, configure el servidor para la sincronización de una dirección tal como se describió anteriormente en este tema.
-
Instale la sincronización de contraseña en todos los controladores de dominio. Si el servidor maestro NIS está ejecutando un sistema operativo basado en UNIX, configure la sincronización de contraseña en los servidores basados en Windows para la sincronización de contraseña de dos direcciones con el servidor maestro. Por último, agregue cada uno de los clientes NIS a la lista de equipos con los que trabaja la sincronización de contraseña, teniendo la precaución de habilitar la sincronización de UNIX a Windows y deshabilitar la sincronización de Windows a UNIX. La sincronización de Windows a UNIX solo debe habilitarse para el servidor maestro NIS. Para obtener más información acerca de cómo agregar y configurar equipos, vea Adición o eliminación de equipos para la sincronización y Establecimiento de propiedades de sincronización específicas del equipo.
-
Instale el módulo de autenticación acoplable de sincronización de contraseña (PAM) en cada uno de los clientes NIS y, a continuación, copie el archivo sso.conf del servidor maestro al directorio /etc de esos clientes. Para obtener más información, vea Instalar el módulo de autenticación acoplable de sincronización de contraseña.
-
Si el servidor maestro NIS es un equipo basado en Windows que ejecuta Servidor para NIS, copie el archivo Sso.cfg en uno de los clientes NIS, establezca SYNC_HOSTS para que indique el equipo en el que se está ejecutando Servidor para NIS como el equipo basado en Windows con el que desea sincronizar contraseñas y, a continuación, copie el archivo en los demás clientes de UNIX. Vea Usar sso.conf para configurar la sincronización de contraseña en equipos basados en UNIX para obtener más información acerca de la configuración de este archivo.
-
Configure cada equipo UNIX para permitir que los usuarios usen el comando yppasswd para cambiar sus contraseñas. Para ello, reemplace el archivo binario yppasswd del equipo UNIX por un vínculo al archivo binario passwd y, a continuación, modifique el archivo /etc/nsswitch.conf para reemplazar las líneas passwd y shadow por lo siguiente:
Después de hacer esto, cuando un usuario ejecute el comando yppasswd para cambiar la contraseña del usuario, en realidad se ejecutará el archivo binario passwd para cambiar la contraseña. Si la entrada passwd del usuario no se encuentra en los archivos passwd y shadow locales, se cambiará la contraseña NIS en su lugar.passwd: files [NOTFOUND=continue] nis shadow: files [NOTFOUND=continue] nis