Synchronizowanie haseł z domeną usługi NIS
Za pomocą synchronizacji haseł można udostępnić jednokierunkową (z systemu Windows do systemu UNIX) i dwukierunkową synchronizację haseł między domenami systemu Windows i domenami sieciowej usługi informacyjnej (NIS). Można to zrobić niezależnie od tego, czy na serwerze głównym domeny usługi NIS jest uruchomiony system operacyjny oparty na systemie UNIX i czy na komputerze z systemem Windows jest uruchomiony serwer usługi NIS.
Jeśli na serwerze głównym usługi NIS jest uruchomiony system operacyjny oparty na systemie UNIX, jedynym wymaganiem udostępnienia synchronizacji jednokierunkowej jest zainstalowanie synchronizacji haseł na wszystkich komputerach z systemem Windows (na przykład na kontrolerach domeny), z którymi mają być synchronizowane hasła, a następnie zainstalowanie demona rejestracji jednokrotnej (SSOD) na serwerze głównym usługi NIS. Następnie należy poddać edycji plik sso.conf na serwerze głównym usługi NIS, aby wykonać następujące czynności:
-
Ustawić wartość USE_NIS na 1.
-
Ustawić dla wpisu NIS_UPDATE_PATH wartość określającą lokalizację pliku reguł programu make usługi NIS.
Te wpisy instruują demona SSOD, że ma uruchamiać plik reguł programu make i przekazywać zmienione mapy zawsze po odebraniu żądania zmiany hasła z domeny systemu Windows. Aby uzyskać więcej informacji i dodatkowe instrukcje, zobacz Instalowanie demona synchronizacji haseł na komputerach z systemem UNIX.
Jeśli serwer usługi NIS jest serwerem głównym domeny usługi NIS, można udostępnić jednokierunkową synchronizację haseł z systemu Windows do systemu UNIX, wybierając pozycję Włącz w obszarze Synchronizacja haseł z systemu Windows do usługi NIS (usługa Active Directory) karty Konfiguracja w oknie dialogowym Właściwości synchronizacji haseł. Ponieważ włączenie synchronizacji haseł z systemu Windows do usługi NIS (usługa Active Directory) może narazić hasła na większe ryzyko nieautoryzowanego użycia, po wybraniu pozycji Włącz zostanie wyświetlony monit o uruchomienie sprawdzania zgodności wszystkich kontrolerów domeny w lesie w celu sprawdzenia, czy mają one minimalne funkcje zabezpieczeń do ochrony haseł użytkowników.
Aby synchronizować hasła z komputerami z systemem UNIX, które nie należą do domeny usługi NIS, należy zainstalować synchronizację haseł na kontrolerach domeny usług Usługi domenowe Active Directory z systemem Windows i skonfigurować komputery UNIX zgodnie z opisem podanym w poprzedniej części tego tematu.
Synchronizację z systemu UNIX do systemu Windows dla obu typów domen usługi NIS można udostępnić, wykonując poniższe czynności.
-
Jeśli na serwerze głównym usługi NIS jest uruchomiony system operacyjny oparty na systemie UNIX, należy skonfigurować ten serwer do synchronizacji jednokierunkowej zgodnie z opisem podanym w poprzedniej części tego tematu.
-
Należy zainstalować synchronizację haseł na wszystkich kontrolerach domeny. Jeśli na serwerze głównym usługi NIS jest uruchomiony system operacyjny oparty na systemie UNIX, należy skonfigurować synchronizację haseł na serwerach z systemem Windows do synchronizacji dwukierunkowej z serwerem głównym. Na koniec należy dodać każdego klienta usługi NIS do listy komputerów, z którymi działa synchronizacja haseł, pamiętając o włączeniu synchronizacji z systemu UNIX do systemu Windows i wyłączeniu synchronizacji z systemu Windows do systemu UNIX. Synchronizacja z systemu Windows do systemu UNIX powinna być włączona tylko dla serwera głównego usługi NIS. Aby uzyskać więcej informacji na temat dodawania i konfigurowania komputerów, zobacz tematy Dodawanie komputerów do synchronizacji lub usuwanie ich z niej i Ustawianie właściwości synchronizacji specyficznych dla komputera.
-
Należy zainstalować podłączany moduł uwierzytelniania (PAM) synchronizacji haseł na każdym kliencie usługi NIS, a następnie skopiować plik sso.conf z serwera głównego do katalogu /etc na tych klientach. Aby uzyskać więcej informacji, zobacz Instalowanie podłączanego modułu uwierzytelniania synchronizacji haseł.
-
Jeśli serwer główny usługi NIS jest komputerem z systemem Windows, na którym jest uruchomiony serwer usługi NIS, należy skopiować plik Sso.cfg na jeden z klientów usługi NIS, ustawić dla wpisu SYNC_HOSTS wartość określającą komputer, na którym jest uruchomiony serwer usługi NIS, jako komputer z systemem Windows, z którym mają być synchronizowane hasła, a następnie skopiować ten plik na innych klientów z systemem UNIX. Aby dowiedzieć się więcej na temat ustawień w tym pliku, zobacz Konfigurowanie synchronizacji haseł na komputerach z systemem UNIX za pomocą pliku sso.conf.
-
Należy skonfigurować każdy komputer z systemem UNIX, aby zezwalał użytkownikom na zmienianie haseł za pomocą polecenia yppasswd. W tym celu należy zamienić plik binarny yppasswd na komputerze z systemem UNIX na łącze do pliku binarnego passwd, a następnie edytować plik /etc/nsswitch.conf, zamieniając wiersze passwd i shadow na pokazane poniżej:
Gdy po wykonaniu powyższej czynności użytkownik wykona polecenie yppasswd, aby zmienić hasło użytkownika, w rzeczywistości w celu zmiany hasła będzie uruchamiany plik binarny passwd. Jeśli w plikach lokalnych passwd i shadow nie zostanie znaleziony wpis passwd użytkownika, zamiast tego zostanie zmienione hasło usługi NIS.passwd: files [NOTFOUND=continue] nis shadow: files [NOTFOUND=continue] nis