Meilleures pratiques
-
Installez la synchronisation de mot de passe sur les contrôleurs de domaine appropriés. Pour garantir une synchronisation cohérente des mots de passe du domaine avec les mots de passe UNIX, la synchronisation de mot de passe doit être installée sur le contrôleur de domaine principal et, s’il s’agit d’un domaine Windows 2000, sur tous les contrôleurs de domaine.
-
Si vous ajoutez un contrôleur de domaine à un domaine, installez dès que possible la synchronisation de mot de passe sur ce nouveau contrôleur et configurez-le comme les autres contrôleurs de domaine.
-
Si vous devez supprimer la synchronisation de mot de passe d’un contrôleur de domaine, il est préférable de rétrograder celui-ci au rang de serveur membre avant de procéder à cette désinstallation.
-
Si vous ajoutez un contrôleur de domaine à un domaine, installez dès que possible la synchronisation de mot de passe sur ce nouveau contrôleur et configurez-le comme les autres contrôleurs de domaine.
-
Garantissez des stratégies de mot de passe cohérentes. Si vous fournissez simplement la synchronisation de mot de passe unidirectionnelle, vérifiez que la stratégie de mot de passe de l’ordinateur à partir duquel s’effectuera la synchronisation est au moins aussi restrictive dans tous les domaines que la stratégie de l’ordinateur avec lequel les mots de passe sont synchronisés. Par exemple, si vous configurez une synchronisation de Windows vers UNIX, la stratégie de mot de passe Windows doit être au moins aussi restrictive que celle des ordinateurs UNIX avec lesquels les mots de passe sont synchronisés. Pour une synchronisation bidirectionnelle, les stratégies de mot de passe doivent utiliser un mode restrictif rigoureusement identique sur les deux systèmes. Des stratégies de mot de passe incohérentes peuvent faire échouer la synchronisation lorsqu’un utilisateur modifie un mot de passe sur le système le moins restrictif, ou bien le mot de passe peut être modifié sur le système le plus restrictif même s’il n’est pas conforme aux stratégies de ce système.
Vérifiez que les utilisateurs Windows connaissent les éventuelles restrictions spéciales en place sur les systèmes UNIX avec lesquels leurs mots de passe seront synchronisés. Par exemple, avec certaines versions d’UNIX les mots de passe ne peuvent pas dépasser huit caractères. Pour assurer une compatibilité optimale avec la stratégie de mot de passe par défaut de Windows et ces limitations UNIX, veillez à utiliser des mots de passe de sept ou huit caractères, sauf si vous êtes sûr que tous les systèmes UNIX acceptent des mots de passe plus longs.
-
Configurez la synchronisation de mot de passe afin d’offrir la meilleure protection pour les mots de passe de vos utilisateurs
Suivez ces recommandations pour conserver une sécurité optimale :
-
Établissez explicitement la liste des utilisateurs dont les mots de passe doivent être synchronisés. Pour fournir un contrôle optimal sur les utilisateurs qui peuvent synchroniser les mots de passe, n’utilisez pas le mot clé ALL avec la liste SYNC_USERS dans sso.conf de l’hôte UNIX. Établissez plutôt la liste explicite de tous les utilisateurs pour qui la synchronisation de mot de passe est autorisée ou bloquée. Sur l’ordinateur Windows où s’exécute la synchronisation de mot de passe, créez le groupe PasswordPropAllow et ajoutez-y les comptes des utilisateurs dont vous souhaitez synchroniser les mots de passe. Pour plus d’informations, voir Contrôle de la synchronisation de mot de passe des comptes d’utilisateurs.
-
Ne synchronisez pas les mots de passe des comptes UNIX désactivés. Sur certaines versions d’UNIX, la modification du mot de passe d’un compte d’utilisateur désactivé réactive ce compte. Par conséquent, si le compte d’un utilisateur est désactivé sur un ordinateur UNIX configuré pour synchroniser les mots de passe avec un ordinateur Windows, cet utilisateur ou un administrateur peut réactiver le compte UNIX en modifiant le mot de passe Windows. Pour éviter cela, utilisez le groupe PasswordPropDeny pour bloquer la synchronisation des comptes UNIX désactivés.
En outre, lorsqu’un administrateur désactive un compte UNIX, il doit utiliser de préférence l’entrée SYNC_USERS dans sso.conf pour bloquer la synchronisation de mot de passe pour ce compte.
-
Évitez de synchroniser les mots de passe administrateurs. Ne synchronisez pas les mots de passe des membres des groupes Administrateurs Windows ni les mots de passe des comptes racine (super utilisateur) UNIX.
-
Effectuez le test de compatibilité de Windows Server 2003 Service Pack 1 (SP1) lorsque vous activez la synchronisation de mot de passe de Windows vers NIS (Active Directory) dans l’onglet Configuration de la boîte de dialogue Propriétés de la synchronisation de mot de passe. Pour protéger la sécurité des mots de passe de comptes d’utilisateurs au sein de votre entreprise, nous vous recommandons d’autoriser la synchronisation de mot de passe afin d’identifier tous les contrôleurs de domaine de la forêt qui n’exécutent pas Windows Server 2003 SP1 ou une version ultérieure.
La synchronisation de mot de passe vous demande d’autoriser le contrôle de compatibilité lorsque vous sélectionnez Activer dans la zone Synchronisation de mot de passe Windows vers NIS (Active Directory). Sous Windows Server 2003 SP1, ou une version ultérieure installée sur tous les contrôleurs de domaine de la forêt, le risque d’exposition des hachages de mots de passe à des utilisateurs non autorisés est fortement réduit. Si Windows Server 2003 SP1 ne constitue pas le niveau fonctionnel minimal de tous les contrôleurs de domaine d’une forêt, tout utilisateur authentifié sur le domaine peut afficher le hachage de mot de passe de tout utilisateur UNIX dont le compte a été migré vers Services de domaine Active Directory (AD DS.
Si un utilisateur non autorisé parvient à consulter le hachage de mot de passe d’un compte d’utilisateur UNIX dans AD DS, le mot de passe Windows pour le compte n’est plus sûr.
-
Établissez explicitement la liste des utilisateurs dont les mots de passe doivent être synchronisés. Pour fournir un contrôle optimal sur les utilisateurs qui peuvent synchroniser les mots de passe, n’utilisez pas le mot clé ALL avec la liste SYNC_USERS dans sso.conf de l’hôte UNIX. Établissez plutôt la liste explicite de tous les utilisateurs pour qui la synchronisation de mot de passe est autorisée ou bloquée. Sur l’ordinateur Windows où s’exécute la synchronisation de mot de passe, créez le groupe PasswordPropAllow et ajoutez-y les comptes des utilisateurs dont vous souhaitez synchroniser les mots de passe. Pour plus d’informations, voir Contrôle de la synchronisation de mot de passe des comptes d’utilisateurs.
Lorsque la synchronisation de mot de passe est installée, les membres du groupe local Administrateurs et du groupe Administrateurs du domaine sont ajoutés au groupe PasswordPropDeny, ce qui empêche la synchronisation de leurs mots de passe. Si vous ajoutez un utilisateur dans le groupe Administrateurs ou dans le groupe Administrateurs du domaine, n’oubliez pas de l’ajouter aussi dans le groupe PasswordPropDeny.
Modifiez l’instruction SYNC_USERS du fichier sso.conf de tous les systèmes UNIX pour empêcher la synchronisation de mot de passe des super utilisateurs.
-
N’utilisez pas le numéro de port et la clé de chiffrement par défaut. La conservation du numéro de port et de la clé de chiffrement par défaut offrent la possibilité à un pirate d’usurper un hôte UNIX pour capturer les mots de passe. Pensez à protéger le numéro de port et les clés de chiffrement utilisés pour synchroniser les mots de passe aussi bien que les mots de passe eux-mêmes.
-
Sécurisez le fichier sso.conf. Sur tous les hôtes UNIX, le fichier sso.conf contient des informations de configuration importantes, qui peuvent être utilisées pour compromettre la sécurité. Nous vous recommandons de définir le masque de bits du fichier à 600.
-
Assurez-vous que le répertoire identifié par TEMP_FILE_PATH est protégé convenablement. Les fichiers temporaires que crée la synchronisation de mot de passe sur les hôtes UNIX contiennent des informations intéressantes pour un pirate qui souhaiterait compromettre la sécurité du système. Par conséquent, vérifiez que tout répertoire référencé par TEMP_FILE_PATH dans sso.conf est en lecture seule pour le compte root et qu’aucun autre utilisateur ne peut y accéder.
-
Vérifiez que les fichiers journaux sont suffisamment protégés. Sur l’hôte UNIX, la synchronisation de mot de passe utilise le démon syslogd pour consigner les messages résultant des opérations de synchronisation. Les journaux ainsi créés contiennent des informations telles que les noms des utilisateurs dont les mots de passe sont synchronisés et les ordinateurs concernés, les erreurs de propagation, etc. Ces journaux doivent être protégés pour garantir que seuls les administrateurs puissent les afficher.
-
Redémarrez le démon Synchronisation de mot de passe après avoir modifié sa configuration. Lorsque vous modifiez le fichier de configuration du démon Synchronisation de mot de passe (sso.conf), vous devez arrêter et redémarrer le démon pour que ces modifications entrent en vigueur.
-
Configurez les systèmes pour qu’ils gèrent correctement le respect de la casse pour les noms d’utilisateurs. À moins que vous ne mettiez en place une stratégie rigoureuse pour garantir la parfaite concordance orthographique et de majuscule/minuscule des noms d’utilisateurs Windows et UNIX, vérifiez que l’option CASE_IGNORE_NAME a la valeur 1 dans le fichier sso.conf (c’est la valeur par défaut). Les noms d’utilisateurs UNIX respectent la casse ; ils risquent donc de ne pas se synchroniser correctement s’ils ne sont pas rigoureusement exacts, parce que le démon Synchronisation de mot de passe n’est pas en mesure d’associer le nom d’utilisateur Windows avec le nom d’utilisateur UNIX.
-
Assurez-vous que le nom et le type du fichier de mot de passe sont cohérents. Lorsque vous configurez le démon Synchronisation de mot de passe, vérifiez que le type de fichier de mot de passe (spécifié par USE_SHADOW) et le nom de chemin (défini par FILE_PATH) sont adaptés l’un à l’autre. Par exemple, sur la plupart des systèmes, si USE_SHADOW a la valeur 0 (pour indiquer que le fichier passwd est utilisé pour la synchronisation), alors l’option FILE_PATH doit avoir la valeur /etc/passwd. Mais si USE_SHADOW a la valeur 1 (pour indiquer que le fichier shadow est utilisé à la place), alors l’option FILE_PATH doit avoir la valeur /etc/shadow. (Sur les systèmes IBM AIX, le chemin et le nom du fichier shadow sont /etc/security/passwd.)