Wachtwoordsynchronisatie - overzicht

Wachtwoordsynchronisatie bevordert de integratie tussen Windows- en UNIX-netwerken door het proces van het onderhouden van veilige wachtwoorden in beide omgevingen te vereenvoudigen. Het wordt hierdoor mogelijk om de gebruikers te ontlasten doordat ze geen afzonderlijke wachtwoorden voor hun Windows- en UNIX-accounts meer hoeven te gebruiken. Gebruikers hoeven niet langer te onthouden dat ze hun wachtwoord moeten wijzigen. Wachtwoordsynchronisatie maakt het mogelijk om een gebruikerswachtwoord dat is gewijzigd op een op Windows gebaseerde computer of een op Windows gebaseerd domein automatisch te wijzigen op afzonderlijke UNIX-hosts waarop de gebruiker over een account beschikt. Daarnaast kunt u Wachtwoordsynchronisatie tevens zo configureren dat het Windows-wachtwoord van de gebruiker automatisch wordt gewijzigd zodra het UNIX-wachtwoord wordt gewijzigd.

U kunt wachtwoorden hierdoor vanaf één computer beheren, hetgeen het werk van systeembeheerders en afzonderlijke gebruikers eenvoudiger maakt. Wachtwoordsynchronisatie is bovendien flexibel. Beheerders kunnen specifieke gebruikers en computers van de synchronisatie uitsluiten. Wachtwoordsynchronisatie kan wachtwoorden synchroniseren op zelfstandige op Windows gebaseerde computers (zoals computers waarop Windows 2000 Server wordt uitgevoerd die geen deel uitmaken van een domein) of voor een geheel domein dat op Windows is gebaseerd. Wachtwoordsynchronisatie kan tevens worden gebruikt voor het beheren van wachtwoorden op afzonderlijke UNIX-hosts en voor het beheren van alle computers binnen een NIS-domein (Network Information Service).

Wachtwoordsynchronisatie voorziet in een veilige doorgifte van wachtwoorden, waarbij er alleen versleutelde wachtwoorden via TCP/IP-sockets worden verzonden. Hierdoor wordt de noodzaak van het gebruik van onveilige methoden (zoals scripts) voor het extern beheren van wachtwoorden weggenomen. Wachtwoorden worden bovendien onmiddellijk gesynchroniseerd. Dit betekent dat, in tegenstelling tot bij methoden, zoals rdist, waarbij wachtwoorden batchgewijs worden doorgegeven, er geen noemenswaardige vertraging is tussen het moment waarop het wachtwoord op het ene systeem wordt gewijzigd en het moment waarop het wachtwoord op alle andere betrokken systemen wordt gewijzigd . U voorkomt op deze wijze verwarring en frustraties bij actieve gebruikers. Daarnaast wordt een mogelijk beveiligingsrisico weggenomen dat optreedt wanneer een gebruikerswachtwoord moet worden gewijzigd ten einde de toegang van een gebruiker tot het netwerk te blokkeren. U kunt ten behoeve van een verdere uitbreiding van de netwerkbeveiliging gebruikmaken van verschillende versleutelingssleutels die voor elke combinatie van een op Windows gebaseerde computer en een UNIX-host kunnen worden gebruikt.

Wachtwoordsynchronisatie omvat drie softwareonderdelen:

• De Wachtwoordsynchronisatie-service die op een of meer op Windows gebaseerde computers wordt uitgevoerd
  
  
• De Wachtwoordsynchronisatie-daemon die op een of meer UNIX-computers wordt uitgevoerd
  
  
• De PAM-module (Pluggable Authentication Module) van Wachtwoordsynchronisatie die op een of meer UNIX-computers wordt geïnstalleerd.
  
  

Als er een wachtwoord wordt gewijzigd op een op Windows gebaseerde computer waarop Wachtwoordsynchronisatie wordt uitgevoerd, bepaalt de Wachtwoordsynchronisatie-service, als Wachtwoordsynchronisatie is geconfigureerd voor synchronisatie van Windows naar UNIX, of het gebruikerswachtwoord naar de UNIX-computers wordt gesynchroniseerd. Als dat het geval is, versleutelt de service het wachtwoord waarna dit wordt verzonden naar de Wachtwoordsynchronisatie-daemon van de afzonderlijke computers waarmee de op Windows gebaseerde computer wordt gesynchroniseerd. De daemon ontsleutelt vervolgens het wachtwoord en wijzigt daarna het wachtwoord op de UNIX-host. Als de UNIX-host een NIS-masterserver is en als deze daartoe is geconfigureerd, voert de daemon bovendien de opdracht make uit, zodat het wachtwoord binnen het gehele NIS-domein wordt doorgegeven.

Als Wachtwoordsynchronisatie is geconfigureerd voor synchronisatie van UNIX naar Windows, worden wachtwoorden die op UNIX-hosts worden gewijzigd, doorgegeven naar op Windows gebaseerde computers en domeinen. De PAM-module van Wachtwoordsynchronisatie maakt dit mogelijk door hiertoe het wachtwoordwijzigingsverzoek op de UNIX-host te onderscheppen. Vervolgens wordt het wachtwoord versleuteld en wordt het wijzigingsverzoek verzonden naar de Wachtwoordsynchronisatie-service die wordt uitgevoerd op de op Windows gebaseerde computers die voor synchronisatie in aanmerking komen.