Descripción de la sincronización de contraseña
La sincronización de contraseña ayuda a integrar las redes de Windows y UNIX, ya que simplifica el proceso de mantenimiento de contraseñas seguras en ambos entornos. Los usuarios se libran de la dificultad de mantener contraseñas separadas para las cuentas de Windows y UNIX o de tener que acordarse de cambiar la contraseña siempre que se usa. Con la sincronización de contraseña, siempre que cambie la contraseña de un usuario en un dominio o equipo basado en Windows, la contraseña también se puede cambiar automáticamente en cada host de UNIX en el que el usuario tenga una cuenta. La sincronización de contraseña también se puede configurar para cambiar la contraseña de usuario de Windows cuando cambie la contraseña de usuario de UNIX.
Esto permite administrar las contraseñas desde un equipo individual, lo que simplifica el trabajo para los administradores y también para los usuarios individuales. La sincronización de contraseña también es flexible: los administradores pueden excluir de la sincronización equipos y usuarios específicos. La sincronización de contraseña puede sincronizar contraseñas en equipos independientes basados en Windows (como los equipos en los que se ejecuta Windows 2000 Server que no pertenecen a un dominio) o para un dominio completo basado en Windows. Del mismo modo, la sincronización de contraseña se puede usar para administrar contraseñas en hosts de UNIX individuales o en todos los equipos de un dominio NIS (Servicio de información de la red).
Funcionamiento de la sincronización de contraseña
La sincronización de contraseña propaga las contraseñas de forma segura transmitiendo solo contraseñas cifradas a través de sockets TCP/IP. Esto elimina la necesidad de usar métodos no seguros (como scripts) para administrar contraseñas de forma remota. Las contraseñas también se sincronizan inmediatamente. Esto significa que, a diferencia de métodos como rdist, que procesa por lotes la propagación de contraseñas, no se aprecia ningún retraso entre el momento en que se cambia una contraseña en un sistema y el momento en que se cambia en otros sistemas afectados. Esto evita confusión y frustración a los usuarios activos. Cabe destacar que se elimina un riesgo potencial de seguridad si es necesario cambiar una contraseña para bloquear el acceso de un usuario a la red. Para mejorar más la seguridad de la red, se pueden usar diferentes claves de cifrado para cada pareja formada por un equipo basado en Windows y un host de UNIX.
La sincronización de contraseña es una combinación de tres componentes de software:
-
El servicio de sincronización de contraseña que se ejecuta en uno o más equipos basados en Windows.
-
El demonio de sincronización de contraseña que se ejecuta en uno o más equipos UNIX.
-
El módulo de autenticación acoplable (PAM) de sincronización de contraseña instalado en uno o más equipos UNIX.
Cuando la sincronización de contraseña se ha configurado para la sincronización de Windows a UNIX y se cambia una contraseña en un equipo basado en Windows en el que se ejecuta la sincronización de contraseña, el servicio de sincronización de contraseña determina si la contraseña del usuario se va a sincronizar en equipos UNIX. Si es así, el servicio cifra la contraseña y se la envía al demonio de sincronización de contraseña de cada uno de los equipos con los que el equipo basado en Windows se sincronizará. A continuación, el demonio cifra la contraseña y cambia la contraseña en el host de UNIX. Si el host de UNIX es un servidor maestro NIS y se ha configurado para ello, el demonio también ejecuta make para propagar el cambio de contraseña en todo el dominio NIS.
Cuando la sincronización de contraseña se ha configurado para la sincronización de UNIX a Windows, las contraseñas que se cambian en hosts de UNIX se sincronizan en dominios y equipos basados en Windows. El módulo PAM de sincronización de contraseña hace esto posible mediante la interceptación de la solicitud de cambio de contraseña en el host de UNIX, cifrando la contraseña y, a continuación, enviando la solicitud de cambio de contraseña al servicio de sincronización de contraseña que se ejecuta en los equipos basados en Windows con los que se va a sincronizar.