Wachtwoorden synchroniseren met een NIS-domein
U kunt met Wachtwoordsynchronisatie voorzien in wachtwoordsynchronisatie in één richting (Windows naar UNIX) en in twee richtingen tussen Windows-domeinen en NIS-domeinen (Network Information Service). U kunt wachtwoorden synchroniseren ongeacht of er op de masterserver van het NIS-domein een op UNIX gebaseerd besturingssysteem wordt uitgevoerd of dat het een op Windows gebaseerde computer betreft waarop Server voor NIS wordt uitgevoerd.
Als er op de NIS-masterserver een op UNIX gebaseerd besturingssysteem wordt uitgevoerd, hoeft u wanneer u gebruik wilt maken van wachtwoordsynchronisatie in één richting Wachtwoordsynchronisatie alleen te installeren op alle op Windows gebaseerde computers (bijvoorbeeld op de domeincontrollers) vanaf welke u wachtwoorden wilt synchroniseren. Installeer vervolgens de SSOD (Single Sign-On Daemon) op de NIS-masterserver. Bewerk vervolgens het bestand sso.conf op de NIS-masterserver, zodat:
-
Stel USE_NIS in op 1.
-
Stel NIS_UPDATE_PATH in om de locatie van het make-bestand van NIS aan te geven.
De SSOD wordt op deze wijze zo ingesteld dat het make-bestand wordt uitgevoerd en dat de gewijzigde toewijzingen worden gepusht wanneer er een wachtwoordwijzigingsverzoek wordt ontvangen van het Windows-domein. Zie De Wachtwoordsynchronisatie-daemon installeren op computers die op UNIX zijn gebaseerd voor meer informatie en aanvullende instructies.
Als Server voor NIS fungeert als de masterserver voor het NIS-domein, kunt u in wachtwoordsynchronisatie in één richting (Windows naar UNIX) voorzien door op het tabblad Configuratie van het dialoogvenster Eigenschappen van Wachtwoordsynchronisatie in de sectie Wachtwoordsynchronisatie van Windows naar NIS (Active Directory) de optie Inschakelen te selecteren. U wordt wanneer u Inschakelen selecteert, gevraagd om een compatibiliteitscontrole uit te voeren voor alle domeincontrollers in het forest, zodat er kan worden nagegaan of deze over de minimaal vereiste beveiligingsfuncties beschikken voor het beschermen van gebruikerswachtwoorden omdat de kans op een onbevoegd gebruik van wachtwoorden door het inschakelen van wachtwoordsynchronisatie van Windows naar NIS groter wordt.
Als u wachtwoorden moet synchroniseren met UNIX-computers die geen deel uitmaken van het NIS-domein, installeert u Wachtwoordsynchronisatie op Active Directory Domain Services-domeincontrollers die op Windows zijn gebaseerd en configureert u de UNIX-computers op de wijze die eerder in dit onderwerp is beschreven.
U kunt op de volgende wijze voor beide typen NIS-domeinen in wachtwoordsynchronisatie van UNIX naar Windows voorzien.
-
Als er op de NIS-masterserver een op UNIX gebaseerd besturingssysteem wordt uitgevoerd, configureert u de server op de eerder in dit onderwerp beschreven wijze voor wachtwoordsynchronisatie in één richting.
-
Installeer Wachtwoordsynchronisatie op alle domeincontrollers. Als er op de NIS-masterserver een op UNIX gebaseerd besturingssysteem wordt uitgevoerd, configureert u Wachtwoordsynchronisatie op servers die op Windows zijn gebaseerd voor wachtwoordsynchronisatie in twee richtingen. Voeg ten slotte de afzonderlijke NIS-clients toe aan de lijst met computers die door Wachtwoordsynchronisatie worden gebruikt. Zorg er daarbij voor dat u wachtwoordsynchronisatie van UNIX naar Windows inschakelt en dat u wachtwoordsynchronisatie van Windows naar UNIX uitschakelt. Wachtwoordsynchronisatie van Windows naar UNIX moet alleen voor de NIS-masterserver worden ingeschakeld. Zie Computers voor synchronisatie toevoegen of verwijderen en Computergebonden synchronisatie-eigenschappen instellen voor meer informatie over het toevoegen en configureren van computers.
-
Installeer de PAM-module (Pluggable Authentication Module) van Wachtwoordsynchronisatie op de afzonderlijke NIS-clients en kopieer vervolgens het bestand sso.conf vanaf de masterserver naar de map /etc van de desbetreffende clients. Zie De PAM-module (Pluggable Authentication Module) van Wachtwoordsynchronisatie installeren voor meer informatie.
-
Als de NIS-masterserver een op Windows gebaseerde computers is waarop Server voor NIS wordt uitgevoerd, kopieert u sso.cfg naar een van de NIS-clients, vervolgens gebruikt u SYNC_HOSTS om de computer waarop Server voor NIS wordt uitgevoerd, in te stellen als de op Windows gebaseerde computer waarmee wachtwoorden moeten worden gesynchroniseerd en daarna kopieert u het bestand naar de andere UNIX-clients. Zie Sso.conf gebruiken voor het configureren van Wachtwoordsynchronisatie computers die op UNIX zijn gebaseerd voor meer informatie over het instellen van dit bestand.
-
Configureer de afzonderlijke UNIX-computers zo dat gebruikers de opdracht yppasswd kunnen gebruiken om hun wachtwoorden te wijzigen. Vervang hiertoe het binaire yppasswd-bestand op de UNIX-computer door een koppeling naar het binaire passwd-bestand en bewerk vervolgens het bestand /etc/nsswitch.conf. Vervang hierbij de regels die betrekking hebben op passwd en shadow door de volgende regels:
Hierna wordt wanneer een gebruiker de opdracht yppasswd gebruikt om zijn of haar wachtwoord te wijzigen het binaire passwd-bestand uitgevoerd. Als de wachtwoordvermelding van de gebruiker niet in het lokale passwd- en shadow-bestand wordt gevonden, wordt in plaats daarvan het NIS-wachtwoord gewijzigd.passwd: files [NOTFOUND=continue] nis shadow: files [NOTFOUND=continue] nis