NIS ドメインとパスワードを同期する

パスワード同期を使用して、Windows ドメインと NIS (ネットワーク情報サービス) ドメイン間の、一方向 (Windows から UNIX) および双方向のパスワード同期を実行できます。これは、NIS ドメインのマスター サーバーで UNIX ベースのオペレーティング システムが動作しているか、NIS サーバーが動作する Windows ベースのコンピューターであるかにかかわらず実現できます。

NIS マスター サーバーで UNIX ベースのオペレーティング システムが動作している場合は、パスワードの同期元となる Windows ベースのコンピューター (ドメイン コントローラーなど) すべてにパスワード同期をインストールし、シングル サインオン デーモン (SSOD) を NIS マスター サーバーにインストールするだけで、一方向の同期が可能になります。次に NIS マスター サーバーにある sso.conf ファイルを、次のように編集します。

  • USE_NIS1 に設定します。

  • NIS_UPDATE_PATH に NIS makefile の場所を指定します。

Windows ドメインからパスワード変更要求を受信するたびに makefile を実行し、変更済みのマップを転送するよう、SSOD に命令するものです。詳細および追加の手順については、「パスワード同期デーモンを UNIX ベースのコンピューターにインストールする」を参照してください。

NIS サーバーが NIS ドメインのマスター サーバーの場合には、[パスワード同期 - プロパティ] ダイアログ ボックスの [構成] タブにある [Windows から NIS (Active Directory) へのパスワード同期] 領域で [有効にする] を選択することで、Windows から UNIX への一方向のパスワード同期が可能になります。Windows から NIS (Active Directory) へのパスワード同期を有効にすると、パスワードの無断使用といった危険性が高まります。このため、[有効にする] を選択するとメッセージが表示され、フォレスト内にあるすべてのドメイン コントローラーについて互換性の確認を実行し、ユーザー パスワードを保護するための最低限のセキュリティを備えていることを確認するよう求められます。

NIS ドメインの一部ではない UNIX コンピューターとパスワードを同期する必要がある場合は、Windows ベースの Active Directory ドメイン サービス ドメイン コントローラーにパスワード同期をインストールし、前の説明に従って、その UNIX コンピューターを構成します。

UNIX から Windows への同期を、両方のタイプの NIS ドメインに対して行う場合は、次の手順を実行します。

  • NIS マスター サーバーで UNIX ベースのオペレーティング システムが動作している場合、前に説明した手順に従って、一方向の同期を構成します。

  • パスワード同期を、すべてのドメイン コントローラーにインストールします。NIS マスター サーバーで UNIX ベースのオペレーティング システムが動作している場合、Windows ベースのサーバーのパスワード同期を、マスター サーバーとの双方向の同期に構成します。最後に、パスワード同期が機能するコンピューターの一覧に各 NIS クライアントを追加し、UNIX から Windows への同期を使用可能にし、Windows から UNIX への同期を使用不可にします。Windows から UNIX 側への同期は、NIS マスター サーバーに対してのみ使用可能にします。コンピューターの追加および構成の詳細については、「同期するコンピューターを追加または削除する」および「コンピューター固有の同期プロパティを設定する」を参照してください。

  • パスワード同期ホット プラグ可能な認証モジュール (PAM) を各 NIS クライアントにインストールし、次に sso.conf ファイルをマスター サーバーからそれらのクライアントの /etc ディレクトリにコピーします。詳細については、「パスワード同期のホット プラグ可能な認証モジュールをインストールする」を参照してください。

  • NIS マスター サーバーが NIS サーバーを実行している Windows ベースのコンピューターである場合、sso.cfg を NIS クライアントの 1 つにコピーします。SYNC_HOSTS の設定で、パスワードを同期させる Windows ベースのコンピューターとして、NIS サーバーを実行しているコンピューターを指定し、変更した sso.cfg を他の UNIX クライアントにコピーします。このファイルの設定の詳細については、「sso.conf を使って UNIX ベースのコンピューター上でパスワード同期を構成する」を参照してください。

  • ユーザーが yppasswd コマンドを使用して自分のパスワードを変更できるように、各 UNIX コンピューターを構成します。そのためには、UNIX コンピューターの yppasswd バイナリ ファイルを passwd バイナリ ファイルへのリンクで置き換え、/etc/nsswitch.conf ファイルを編集して passwd および shadow 行を次のように置き換えます。

    passwd:  files [NOTFOUND=continue] nis
    shadow:  files [NOTFOUND=continue] nis
    この手順の後でユーザーが yppasswd コマンドを実行してそのユーザーのパスワードを変更すると、passwd バイナリ ファイルがパスワード変更のために実際に実行されます。ユーザーのパスワード エントリがローカルの passwd ファイルおよび shadow ファイルに見つからない場合、NIS パスワードが代わりに変更されます。


目次