Meilleures pratiques lors de la migration d’un domaine NIS (Network Information Service)
-
Avant d’effectuer la migration réelle, lisez attentivement la rubrique « Liste de vérification : migration des bases de données NIS vers les services de domaine Active Directory » dans l’Aide de la Gestion des identités pour UNIX.
-
Avant de démarrer l’Assistant, déterminez si le domaine dont vous effectuez la migration doit demeurer un domaine distinct ou s’il doit faire l’objet d’une fusion avec un autre domaine sur Serveur pour NIS.
-
Si vous effectuez la migration de mappages séparément, vous devez réaliser celle des mappages passwd avant celle des mappages group ou shadow. Vous garantissez ainsi que les mots de passe UNIX seront correctement stockés.
-
Veillez à connaître la structure de vos mappages non standard avant de démarrer l’Assistant. En particulier, vous devez connaître les séparateurs de champ, le champ de clé, le nom de fichier et le nom du mappage. Les mappages non standard sont accessibles à l’aide d’une seule clé.
-
Utilisez l’option Ne pas effectuer la migration (consigner uniquement) par défaut dans l’Assistant Migration des données NIS d’abord, afin que Serveur pour NIS teste toutes les étapes de migration mais ne fasse pas réellement migrer les données. Après l’analyse des fichiers journaux et une fois que vous avez décidé de la manière dont vous voulez gérer les conflits de mappage, le cas échéant, réexécutez l’Assistant, en sélectionnant l’option Effectuer la migration et consigner.
-
Une fois le journal analysé, corrigez tout problème éventuel avant d’effectuer la migration des données. Si le même nom d’utilisateur existe dans les domaines Windows et NIS, déterminez si les noms d’utilisateur dupliqués représentent la même personne. Si tel n’est pas le cas, modifiez le nom d’utilisateur de l’une des deux personnes. Si les noms d’utilisateurs correspondent à la même personne, vérifiez si les propriétés UNIX sont identiques. Si elles ne le sont pas, déterminez celles qui sont correctes. Vous pouvez ensuite conserver l’entrée existante dans Services de domaine Active Directory (AD DS), ou la remplacer par les informations contenues dans le mappage UNIX.
-
Si un conflit est signalé au cours de la migration réelle, alors qu’aucun conflit n’avait été signalé pendant la migration de test, il existe peut-être des conflits au sein des bases de données NIS mêmes. Lors de l’exécution de l’Assistant avec l’option Uniquement journaliser sélectionnée, celui-ci signale uniquement les conflits entre des bases de données NIS et AD DS, pas ceux au sein des bases de données NIS mêmes. Si un conflit se produit au cours de la migration réelle, résolvez le conflit dans les bases de données NIS, puis effectuez la migration des données NIS qui n’ont pas migré à l’aide de l’option de ligne de commande nis2ad –r yes.
Conservez les serveurs subordonnés à jour
Si votre domaine NIS est actif (si des modifications sont souvent apportées au domaine), vous devez augmenter la fréquence de vérification des modifications par Serveur pour NIS. Cela garantit que les serveurs subordonnés basés sur UNIX sont mis à jour peu de temps après l’inscription d’une modification sur le serveur maître. Vous pouvez aussi utiliser la commande Rechercher maintenant les mises à jour dans le volet Actions du composant logiciel enfichable Gestion des identités pour UNIX, afin de mettre immédiatement à jour les serveurs subordonnés.
N’effectuez pas la migration d’un domaine NIS vers plus d’un domaine Active Directory
Même si vous pouvez effectuer la migration d’un domaine NIS vers des ordinateurs exécutant Serveur pour NIS dans plusieurs domaines Windows, nous vous le déconseillons vivement, car les modifications apportées dans un domaine Windows ne sont pas répliquées vers l’autre domaine.
Déconseillez aux utilisateurs de recourir à yppasswd pour modifier les mots de passe NIS
Ils doivent modifier leur mot de passe NIS en changeant leur mot de passe Windows. Serveur pour NIS modifie conformément le mot de passe NIS.
Serveur pour NIS ne prend pas intégralement en charge l’utilitaire yppasswd disponible sur les systèmes UNIX. Lorsqu'un utilisateur exécute yppasswd, Serveur pour NIS modifie le mot de passe de l'utilisateur dans le mappage passwd NIS. Comme yppasswd chiffre le nouveau mot de passe avant de l’envoyer au serveur maître NIS, Serveur pour NIS ne peut pas obtenir de mot de passe en texte clair pour définir le mot de passe Windows de l’utilisateur. Par conséquent, les mots de passe Windows et UNIX de l’utilisateur ne seront plus les mêmes. En outre, yppasswd présente des risques liés à la sécurité car cette commande transmet les mots de passe obsolètes en texte clair. Puisque l’ancien mot de passe utilisateur pourrait également être utilisé comme mot de passe Windows de l’utilisateur en cours, cela expose le mot de passe Windows de l’utilisateur aux utilisateurs non autorisés sur le réseau.
Avec la synchronisation de mot de passe, vous pouvez fournir aux utilisateurs une méthode de modification de leur mot de passe NIS à l’aide de la commande yppasswd. Pour plus d'informations, voir « Synchronisation de mots de passe avec un domaine NIS » dans l'Aide de la Gestion des identités UNIX.