Présentation de la synchronisation de mot de passe
La synchronisation de mot de passe facilite l’intégration des réseaux Windows et UNIX en simplifiant la gestion de mots de passe sécurisés dans les deux environnements. Les utilisateurs n’ont plus à définir des mots de passe différents pour leurs comptes Windows et UNIX ni à changer constamment de mot de passe. Avec la synchronisation de mot de passe, dès que l’un d’eux est modifié sur un ordinateur ou un domaine Windows, il peut l’être aussi automatiquement sur tous les hôtes UNIX sur lesquels l’utilisateur possède un compte. Par ailleurs, il est possible de configurer la synchronisation de mot de passe pour modifier automatiquement le mot de passe Windows de l’utilisateur dès que son mot de passe UNIX change.
Vous pouvez alors administrer les mots de passe à partir d’un seul ordinateur, ce qui simplifie la tâche des administrateurs et de tous les utilisateurs. La synchronisation de mot de passe présente en outre une certaine flexibilité : les administrateurs peuvent exclure des utilisateurs et des ordinateurs spécifiques de la synchronisation. La synchronisation de mot de passe peut synchroniser les mots de passe d’ordinateurs Windows autonomes (par exemple des ordinateurs Windows 2000 Server qui ne font pas partie d’un domaine) ou d’un domaine Windows tout entier. Elle peut également servir à gérer les mots de passe d’hôtes UNIX individuels ou de tous les ordinateurs d’un domaine NIS (Network Information Service).
Fonctionnement de la synchronisation de mot de passe
La synchronisation de mot de passe propage les mots de passe en toute sécurité, en les transmettant uniquement sous forme chiffrée sur des sockets TCP/IP. Ainsi, il n’est plus nécessaire de recourir à des méthodes non sécurisées (comme les scripts) pour administrer les mots de passe à distance. De plus, les mots de passe sont synchronisés immédiatement. Autrement dit, contrairement aux méthodes telles que rdist, qui traitent par lots la propagation des mots de passe, il n’y a pas de délai notable entre la modification d’un mot de passe sur un système et la répercussion de cette modification sur tous les autres systèmes concernés. Les utilisateurs actifs sont ainsi libérés des complications et des tracas. Fait important : l’élimination du risque de sécurité potentiel lors de la modification d’un mot de passe pour interdire l’accès d’un utilisateur au réseau. Pour renforcer la sécurité, plusieurs clés de chiffrement différentes peuvent être utilisées pour chaque association d’un ordinateur Windows avec un hôte UNIX.
La synchronisation de mot de passe est une combinaison de trois composants logiciels :
-
le service Synchronisation de mot de passe qui s’exécute sur un ou plusieurs ordinateurs Windows ;
-
le démon Synchronisation de mot de passe qui s’exécute sur un ou plusieurs ordinateurs UNIX ;
-
le PAM (Pluggable Authentication Module) Synchronisation de mot de passe installé sur un ou plusieurs ordinateurs UNIX.
Lorsque la synchronisation de mot de passe est configurée dans le sens Windows vers UNIX et qu’un mot de passe est modifié sur un ordinateur Windows exécutant le service de synchronisation de mot de passe, ce dernier détermine si le mot de passe de l’utilisateur doit être synchronisé sur les ordinateurs UNIX. Si c’est le cas, le service chiffre le mot de passe et l’envoie au démon Synchronisation de mot de passe de tous les ordinateurs avec lesquels l’ordinateur Windows doit être synchronisé. Ensuite, le démon déchiffre le mot de passe et le modifie sur l’hôte UNIX. Si l’hôte UNIX est un serveur maître NIS et qu’il est configuré pour cela, le démon exécute également la commande make pour propager la modification du mot de passe dans tout le domaine NIS.
Lorsque la synchronisation de mot de passe est configurée dans le sens UNIX vers Windows, les mots de passe modifiés sur les hôtes UNIX sont synchronisés sur les ordinateurs et les domaines Windows. Le module PAM Synchronisation de mot de passe rend cette opération possible en interceptant la demande de modification de mot de passe sur l’hôte UNIX, en chiffrant le mot de passe puis en envoyant la demande au service Synchronisation de mot de passe qui s’exécute sur les ordinateurs Windows avec lesquels la synchronisation est configurée.