Sincronizzare le password con un dominio NIS

Tramite Sincronizzazione password è possibile implementare la sincronizzazione delle password unidirezionale (da Windows a UNIX) e bidirezionale tra i domini di Windows e i domini NIS (Network Information Service). Questa operazione può essere eseguita indipendentemente dal fatto che il server master del dominio NIS stia eseguendo un sistema operativo basato su UNIX o sia un computer basato su Windows che esegue Server per NIS.

Se il server master NIS esegue un sistema operativo basato su UNIX, per implementare la sincronizzazione unidirezionale è sufficiente installare Sincronizzazione password in tutti i computer basati su Windows dai quali verranno sincronizzate le password, ad esempio i controller di dominio, e quindi installare SSOD (Single Sign-On Daemon) nel server master NIS. È quindi possibile modificare il file sso.conf nel server master NIS per eseguire le operazioni seguenti:

  • Impostare USE_NIS su 1.

  • Impostare NIS_UPDATE_PATH in modo da specificare il percorso del makefile NIS.

In questo modo viene comunicato a SSOD di eseguire il makefile ed eseguire il push dei mapping modificati ogni volta che viene ricevuta una richiesta di modifica di password dal dominio di Windows. Per ulteriori informazioni e istruzioni aggiuntive, vedere Installare il daemon di Sincronizzazione password in computer basati su UNIX.

Se Server per NIS è il server master per il dominio NIS, è possibile implementare la sincronizzazione delle password unidirezionale da Windows a UNIX selezionando Abilita nell'area Sincronizzazione password da Windows a NIS (Active Directory) della scheda Configurazione della finestra di dialogo Proprietà della sincronizzazione password. Poiché l'abilitazione della sincronizzazione delle password da Windows a NIS (Active Directory) aumenta il rischio che le password siano utilizzate da utenti non autorizzati, quando si seleziona Abilita verrà richiesto di eseguire un controllo di compatibilità di tutti i controller di dominio della foresta, allo scopo di verificare che dispongano delle funzionalità di sicurezza minime per le password degli utenti.

Se è necessario sincronizzare le password con computer UNIX che non fanno parte del dominio NIS, installare Sincronizzazione password nei controller di dominio di Servizi dei domini Active Directory basati su Windows e configurare i computer UNIX come descritto in precedenza in questo argomento.

Per fornire la sincronizzazione da UNIX a Windows per entrambi i tipi di domini NIS, eseguire le operazioni seguenti.

  • Se il server master NIS esegue un sistema operativo basato su UNIX, configurare il server per la sincronizzazione unidirezionale come descritto in precedenza in questo argomento.

  • Installare Sincronizzazione password in tutti i controller di dominio. Se il server master NIS esegue un sistema operativo basato su UNIX, nei server basati su Windows configurare Sincronizzazione password per la sincronizzazione bidirezionale con il server master. Aggiungere infine ognuno dei client NIS all'elenco dei computer utilizzato da Sincronizzazione password e accertarsi di abilitare la sincronizzazione da UNIX a Windows e di disabilitare la sincronizzazione da Windows a UNIX. Abilitare la sincronizzazione da Windows a UNIX solo per il server master NIS. Per ulteriori informazioni sull'aggiunta e sulla configurazione di computer, vedere Aggiungere o rimuovere computer per la sincronizzazione e Impostare le proprietà della sincronizzazione per i singoli computer.

  • Installare il modulo Pluggable Authentication Module (PAM) di Sincronizzazione password in ogni client NIS e quindi copiare il file sso.conf dal server master alla directory /etc dei client. Per ulteriori informazioni, vedere Installare il modulo PAM (Pluggable Authentication Module) Sincronizzazione password.

  • Se il server master NIS è un computer basato su Windows che esegue Server per NIS, copiare il file Sso.cfg in uno dei client NIS, impostare SYNC_HOSTS in modo da specificare che il computer che esegue Server per NIS è il computer basato su Windows con cui devono essere sincronizzate le password e quindi copiare il file negli altri client UNIX. Per ulteriori informazioni sulle impostazioni di questo file, vedere Utilizzare sso.conf per configurare Sincronizzazione password in computer basati su UNIX.

  • Configurare ogni computer UNIX in modo da consentire agli utenti di utilizzare il comando yppasswd per modificare le relative password. A tale scopo, sostituire il file binario yppasswd nel computer UNIX con un collegamento al file binario passwd e quindi modificare il file /etc/nsswitch.conf in modo da sostituire le righe passwd e shadow con quanto segue:

    passwd:  files [NOTFOUND=continue] nis
    shadow:  files [NOTFOUND=continue] nis
    Dopo avere completato l'operazione, se un utente esegue il comando yppasswd per modificare la propria password, per la modifica della password verrà effettivamente eseguito il file binario passwd. Se nei file locali passwd e shadow non viene trovata la voce passwd dell'utente, verrà modificata la password NIS.