Opis synchronizacji haseł
Synchronizacja haseł ułatwia integrację sieci systemu Windows i sieci systemu UNIX, upraszczając stosowanie bezpiecznych haseł w obu środowiskach. Użytkownicy nie muszą utrzymywać oddzielnych haseł dla kont systemu Windows i systemu UNIX ani pamiętać o zmianie hasła, gdziekolwiek jest używane. Dzięki synchronizacji haseł przy każdej zmianie hasła użytkownika na komputerze lub w domenie z systemem Windows hasło może też być automatycznie zmieniane na każdym hoście z systemem UNIX, na którym użytkownik ma konto. Synchronizację haseł można też tak skonfigurować, aby automatycznie zmieniała hasło systemu Windows użytkownika, gdy zostanie zmienione hasło systemu UNIX tego użytkownika.
Dzięki temu można administrować hasłami z jednego komputera, co ułatwia pracę administratorom, a także indywidualnym użytkownikom. Ponadto synchronizacja haseł jest elastyczna: administratorzy mogą wykluczyć określonych użytkowników i komputery z synchronizacji. Synchronizacja haseł może synchronizować hasła na autonomicznych komputerach z systemem Windows (na przykład na komputerach z systemem Windows 2000 Server nienależących do domeny) lub dla całej domeny z systemem Windows. Podobnie za pomocą synchronizacji haseł można zarządzać hasłami na pojedynczych hostach z systemem UNIX lub na wszystkich komputerach w domenie sieciowej usługi informacyjnej (NIS).
Opis działania synchronizacji haseł
Synchronizacja haseł propaguje hasła w bezpieczny sposób, przesyłając tylko zaszyfrowane hasła przez gniazda protokołu TCP/IP. Eliminuje to potrzebę zdalnego administrowania hasłami za pomocą niezabezpieczonych metod (na przykład skryptów). Ponadto hasła są synchronizowane natychmiast. Oznacza to, że w przeciwieństwie do takich metod, jak polecenie rdist, które propaguje hasła za pomocą plików wsadowych, nie ma znacznego opóźnienia między chwilą zmiany hasła w jednym systemie i momentem zmiany tego hasła we wszystkich innych systemach objętych synchronizacją. Eliminuje to zamieszanie i zdenerwowanie wśród aktywnych użytkowników. Co ważniejsze, to eliminuje zagrożenie bezpieczeństwa, jeśli trzeba zmienić hasło, aby zablokować dostęp użytkownika do sieci. Aby w jeszcze większym stopniu zwiększyć zabezpieczenia sieci, można używać różnych kluczy szyfrowania dla każdej pary komputera z systemem Windows i hosta z systemem UNIX.
Synchronizacja haseł jest kombinacją trzech składników oprogramowania:
-
usługi Synchronizacja haseł, uruchomionej na jednym lub większej liczbie komputerów z systemem Windows;
-
demona synchronizacji haseł, uruchomionego na jednym lub większej liczbie komputerów z systemem UNIX;
-
podłączanego modułu uwierzytelniania (PAM) synchronizacji haseł zainstalowanego na jednym lub większej liczbie komputerów z systemem UNIX.
Gdy po skonfigurowaniu synchronizacji haseł do synchronizacji z systemu Windows do systemu UNIX zostanie zmienione hasło na komputerze z systemem Windows z uruchomioną synchronizacją haseł, usługa Synchronizacja haseł określa, czy hasło użytkownika ma być synchronizowane na komputerach z systemem UNIX. Jeśli tak, ta usługa szyfruje hasło i wysyła je do demona synchronizacji haseł na każdym komputerze, z którym komputer z systemem Windows (zgodnie z jego konfiguracją) ma być synchronizowany. Następnie demon odszyfrowuje hasło i zmienia hasło na hoście z systemem UNIX. Jeśli host z systemem UNIX jest serwerem głównym usługi NIS i jest odpowiednio skonfigurowany, demon uruchamia też program make, aby propagować zmianę hasła w całej domenie usługi NIS.
Gdy synchronizacja haseł jest skonfigurowana do synchronizacji z systemu UNIX do systemu Windows, hasła zmienione na hostach z systemem UNIX są synchronizowane na komputerach i w domenach z systemem Windows. Moduł PAM synchronizacji haseł umożliwia to, przechwytując żądanie zmiany hasła na hoście z systemem UNIX, szyfrując hasło, a następnie wysyłając żądanie zmiany hasła do usługi Synchronizacja haseł uruchomionej na komputerach z systemem Windows, z którymi (zgodnie z ich konfiguracją) hasło ma być synchronizowane.