Gyakorlati tanácsok
-
Telepítse a Jelszó-szinkronizálást a megfelelő tartományvezérlőkre A tartományi jelszavak UNIX-jelszavakkal való megbízható szinkronizálása érdekében a Jelszó-szinkronizálást az elsődleges tartományvezérlőre, továbbá Windows 2000 tartomány esetén a tartomány összes tartományvezérlőjére telepíteni kell.
-
Ha a tartományhoz új tartományvezérlőt ad hozzá, a Jelszó-szinkronizálást a lehető legrövidebb időn belül telepíteni kell az új tartományvezérlőre, és gondoskodni kell a többi tartományvezérlővel megegyező beállításokról.
-
Ha egy tartományvezérlőről el szeretné távolítani a Jelszó-szinkronizálást, ezt megelőzően tagkiszolgálóvá kell lefokoznia a kiszolgálót.
-
Ha a tartományhoz új tartományvezérlőt ad hozzá, a Jelszó-szinkronizálást a lehető legrövidebb időn belül telepíteni kell az új tartományvezérlőre, és gondoskodni kell a többi tartományvezérlővel megegyező beállításokról.
-
Gondoskodjon az egységes jelszóházirendről Ha csak egyirányú jelszó-szinkronizálást nyújt, gondoskodjon róla, hogy a jelszó-szinkronizálás forrásszámítógépének jelszóházirendje minden téren legalább olyan szigorú, mint azon számítógépek házirendje, amelyekre a jelszavak szinkronizálása történik. Ha például Windows-UNIX irányú szinkronizálást állít be, a Windows-jelszóházirendnek legalább olyan szigorúnak kell lennie, mint azon UNIX-számítógépek házirendje, amelyekkel a jelszavak szinkronizálásra kerülnek. A kétirányú szinkronizálás támogatása esetén a jelszóházirendeknek ugyanolyan szigorúnak kell lennie a két rendszerben. Az eltérő jelszóházirendek szinkronizálási hibákhoz vezethetnek a kevésbé szigorú rendszerben végrehajtott jelszómódosítások esetén. Az is előfordulhat, hogy a szigorúbb rendszerben a jelszó annak ellenére módosításra kerül, hogy nem felel meg a rendszerben érvényes házirendnek.
Gondoskodjon róla, hogy a Windows-felhasználók tisztában legyenek azon UNIX-rendszerek speciális jelszókorlátozásaival, amelyekkel jelszavaik szinkronizálása megtörténik. Egyes UNIX-verziókban például a jelszavak legfeljebb nyolc karakter hosszúságúak lehetnek. Az alapértelmezett Windows-jelszóházirenddel és a UNIX-korlátozásokkal való maximális kompatibilitás érdekében a jelszavaknak hét vagy nyolc karakter hosszúságúaknak kell lenniük, kivéve, ha biztos benne, hogy valamennyi UNIX-rendszer támogatja a hosszabb jelszavakat.
-
A Jelszó-szinkronizálás konfigurálása a felhasználói jelszavak maximális védelmének biztosítására
Az optimális biztonság érdekében kövesse az alábbi ajánlásokat:
-
Adja meg, hogy mely UNIX-felhasználók jelszavait kell szinkronizálni A jelszó-szinkronizálásban részt vevő felhasználók maximális ellenőrzése érdekében ne alkalmazza a UNIX-állomás sso.conf fájljának SYNC_USERS listáján az ALL kulcsszót. Ehelyett egyenként soroljon fel minden olyan felhasználót, akinek az esetében engedélyezett vagy tiltott a szinkronizálás. A Jelszó-szinkronizálást futtató Windows-számítógépen hozza létre a PasswordPropAllow csoportot, és adja hozzá ehhez mindazokat a felhasználói fiókokat, amelyeknek a jelszavait szinkronizálni szeretné. További információk a Jelszó-szinkronizálás szabályozása felhasználói fiókok szerint című témakörben.
-
Ne szinkronizálja a letiltott UNIX-fiókokhoz tartozó jelszavakat Egyes UNIX-verziókban a letiltott felhasználói fiókok jelszavainak módosításakor az adott fiók automatikusan aktiválódik. Ezért ha egy felhasználónak van egy letiltott fiókja egy olyan UNIX-számítógépen, amely a jelszavak Windows-alapú számítógépekkel való szinkronizálására van konfigurálva, a felhasználó vagy a rendszergazda a felhasználó Windows-jelszavának módosításával aktiválja a UNIX-fiókot. Ennek megelőzésére hozza létre a PasswordPropDeny csoportot, amely tiltja a szinkronizálást a letiltott UNIX-fiókok számára.
Ezenkívül ha egy rendszergazda letilt egy UNIX-fiókot, az sso.conf fájl SYNC_USERS bejegyzésében is le kell tiltania a jelszó-szinkronizálást az adott fiókra vonatkozóan.
-
Kerülje a rendszergazdai jelszavak szinkronizálását Ne szinkronizálja a Windows Rendszergazdák csoportjaiba tartozó felhasználók jelszavait, valamint a UNIX-rendszergazdák fiókjaihoz tartozó jelszavakat.
-
Hajtson végre kompatibilitás-ellenőrzést a Windows Server 2003 Service Pack 1 (SP1) rendszerre vonatkozóan , amikor a Jelszó-szinkronizálás tulajdonságai párbeszédpanel Konfiguráció lapján a Windows-NIS (Active Directory) jelszó-szinkronizálás lehetőséget választja. A vállalati rendszer felhasználói fiókjainak jelszóvédelme érdekében erősen ajánlott engedélyezni a Jelszó-szinkronizálás számára, hogy megkeresse az erdő valamennyi olyan tartományvezérlőjét, amely nem SP1 szervizcsomaggal frissített vagy annál újabb Windows Server 2003 rendszert futtat.
Amikor a Windows-NIS (Active Directory) jelszó-szinkronizálás területen az Engedélyezés beállítást választja, a Jelszó-szinkronizálás kéri a kompatibilitás-ellenőrzés engedélyezését. Ha egy erdő tartományvezérlőire a SP1 szervizcsomaggal frissített vagy annál újabb Windows Server 2003 rendszer van telepítve, nagymértékben csökken annak kockázata, hogy jogosulatlan személyek tekintik meg a felhasználók jelszókivonatait. Ha egy erdő tartományvezérlőinek minimális működési szintje nem a SP1 szervizcsomaggal frissített vagy annál újabb Windows Server 2003 rendszer, a tartomány bármely jogosulatlan felhasználója megtekintheti a mindazon UNIX-felhasználók jelszókivonatait, akiknek a fiókját áttelepítették a Active Directory Tartományi szolgáltatás (AD DS) rendszerre.
Ha egy jogosulatlan felhasználó feltöri egy UNIX-alapú felhasználó jelszókivonatát a AD DS rendszerben, a fiókhoz tartozó Windows-alapú jelszó már nem biztonságos.
-
Adja meg, hogy mely UNIX-felhasználók jelszavait kell szinkronizálni A jelszó-szinkronizálásban részt vevő felhasználók maximális ellenőrzése érdekében ne alkalmazza a UNIX-állomás sso.conf fájljának SYNC_USERS listáján az ALL kulcsszót. Ehelyett egyenként soroljon fel minden olyan felhasználót, akinek az esetében engedélyezett vagy tiltott a szinkronizálás. A Jelszó-szinkronizálást futtató Windows-számítógépen hozza létre a PasswordPropAllow csoportot, és adja hozzá ehhez mindazokat a felhasználói fiókokat, amelyeknek a jelszavait szinkronizálni szeretné. További információk a Jelszó-szinkronizálás szabályozása felhasználói fiókok szerint című témakörben.
A Jelszó-szinkronizálás telepítésekor a program hozzáadja a helyi Rendszergazdák és Tartományi rendszergazdák csoport tagjait a PasswordPropDeny csoporthoz, amivel megakadályozza e felhasználók jelszavainak szinkronizálását. Ha hozzáad egy felhasználót a Rendszergazdák vagy a Tartományi rendszergazdák csoporthoz, mindenképpen adja hozzá a PasswordPropDeny csoporthoz is.
Módosítsa az sso.conf SYNC_USERS bejegyzését, hogy megakadályozza a UNIX-rendszergazdák jelszavainak szinkronizálását.
-
Ne használja az alapértelmezett portszámot és titkosítási kulcsot Az alapértelmezett portszám és titkosítási kulcs megtartása esetén az esetleges támadók a jelszavak kimásolására képes UNIX-állomásokat hozhatnak létre. A jelszavak szinkronizálásához használt portszámot és titkosító kulcsokat ugyanolyan biztonságosan kell őrizni, mint magukat a jelszavakat.
-
Gondoskodjon az sso.conf fájl biztonságáról Az egyes UNIX-állomások sso.conf fájljai fontos beállítási információkat tartalmaznak, amelyek rosszindulatú felhasználás esetén veszélyeztethetik a biztonságot. Ajánlott a fájl módbitmaszkját 600-ra állítani.
-
Gondoskodjon a TEMP_FILE_PATH bejegyzés által meghatározott könyvtár védelméről A Jelszó-szinkronizálás által a UNIX-állomásokon létrehozott ideiglenes fájlok olyan adatokat tartalmaznak, amelyek rosszindulatú felhasználás esetén veszélyeztethetik a biztonságot. Ezért biztosítani kell, hogy az sso.conf fájl TEMP_FILE_PATH bejegyzésében megjelölt könyvtárhoz csak a root fióknak legyen olvasási hozzáférése, más felhasználóknak ne.
-
Gondoskodjon a naplófájlok megfelelő védelméről A UNIX-állomáson a Jelszó-szinkronizálás a syslogd démon segítségével naplózza a szinkronizálási műveletek során létrehozott üzeneteket. Az így létrejövő naplók egyebek mellett a jelszó-szinkronizálásban részt vevő felhasználókra és számítógépekre vonatkozó információkat tartalmaznak, és utalnak az esetleges terjesztési hibákra is. Ezeket a naplófájlokat oly módon kell védeni, hogy azokhoz csak a rendszergazdák férjenek hozzá.
-
Beállításainak módosítása után indítsa újra a Jelszó-szinkronizálás démont Amikor módosítja a Jelszó-szinkronizálás démon konfigurációs fájlját (sso.conf), a változtatások életbe léptetéséhez le kell állítania, és újra kell indítania a démont.
-
Konfigurálja az operációst rendszert a kis- és nagybetűk megkülönböztetésének megfelelő kezelésére a felhasználónevekben Ha nem kimondottan olyan szigorú házirendet alkalmaz, amely megköveteli, hogy a Windows- és UNIX-felhasználónevek helyesírásukban és kis- és nagybetűs írásmódjukban egyaránt megegyezzenek, állítsa 1-re az sso.conf fájl CASE_IGNORE_NAME bejegyzését (alapértelmezett érték). A UNIX rendszer a felhasználóneveknél különbséget tesz a kis- és nagybetűk között, ezért ha a felhasználónevek nem egyeznek tökéletesen, a jelszó-szinkronizálás során hiba léphet fel, mert a Jelszó-szinkronizálás démon nem tudja megfeleltetni egymásnak a Windows- és UNIX-felhasználóneveket.
-
Ellenőrizze, hogy összhangban van-e egymással a jelszófájl típusa és neve A Jelszó-szinkronizálás démon konfigurálásakor ellenőrizze, hogy a jelszófájl típusa (USE_SHADOW bejegyzés) és elérési útja (FILE_PATH bejegyzés) megfelel-e egymásnak. Ha például a USE_SHADOW érték 0 (ezt azt jelenti, hogy a rendszer a passwd fájlt használja jelszó-szinkronizáláshoz), a legtöbb rendszerben a FILE_PATH bejegyzést /etc/passwd értékre kell állítani. Ha azonban a USE_SHADOW érték 1 (ilyenkor a rendszer a shadow fájlt használja), akkor a FILE_PATH bejegyzésben az /etc/shadow elérési utat kell megadni. (IBM AIX rendszerek esetén a shadow fájl elérési útja és neve /etc/security/passwd.)