Sincronizando senhas com domínio NIS
Ao utilizar a Sincronização de Senhas, você pode realizar sincronizações de senha unidirecionais (Windows para UNIX) e bidirecionais entre domínios do Windows e do Serviço de Informação de Rede (NIS). Isso pode ser feito quando o servidor mestre do domínio NIS executa um sistema operacional baseado em UNIX ou quando é um computador com Windows executando Servidor para NIS.
Se o servidor mestre NIS estiver executando um sistema operacional baseado em UNIX, para oferecer sincronização unidirecional basta instalar a Sincronização de Senhas em todos os computadores com Windows (por exemplo, nos controladores de domínio) dos quais você deseja sincronizar senhas e, em seguida, instalar o daemon de logon único (SSOD) no servidor mestre NIS. Depois, edite o arquivo sso.conf no servidor mestre NIS para fazer o seguinte:
-
Defina USE_NIS para 1.
-
Defina NIS_UPDATE_PATH para especificar a localização do makefile NIS.
Isto instrui o SSOD a executar o makefile e a enviar por push os mapas alterados sempre que uma solicitação de alteração de senha for recebida do domínio do Windows. Para obter mais informações e instruções, consulte Instalar o daemon de Sincronização de Senha em computadores baseados em UNIX.
Se o Servidor para NIS for o servidor mestre para o domínio NIS, você poderá oferecer sincronização de senha unidirecional do Windows para UNIX selecionando Habilitar na área Sincronização de senha Windows para NIS (Active Directory) da guia Configuração na caixa de diálogo Propriedades de Sincronização de Senhas. Como a habilitação da sincronização de senha de Windows para NIS (Active Directory) pode expor as senhas a um grande risco de uso não autorizado, ao selecionar Habilitar você será solicitado a executar uma verificação de compatibilidade de todos os controladores de domínio da floresta para confirmar que eles tenham o mínimo de recursos de segurança para ajudar a proteger as senhas de usuários.
Se você precisar sincronizar senhas com computadores UNIX que não fazem parte do domínio NIS, instale a Sincronização de Senhas em controladores de domínio Serviços de Domínio do Active Directory baseados em Windows e configure os computadores UNIX conforme descrito anteriormente neste tópico.
Você pode oferecer sincronização de UNIX para Windows para ambos os tipos de domínios NIS desta forma.
-
Se o servidor mestre NIS estiver executando um sistema operacional baseado em UNIX, configure o servidor para sincronização unidirecional conforme descrito anteriormente neste tópico.
-
Instale a Sincronização de Senhas em todos os controladores de domínio. Se o servidor mestre NIS estiver executando um sistema operacional baseado em UNIX, configure a Sincronização de Senhas em servidores com Windows para sincronização bidirecional com servidor mestre. Finalmente, adicione cada cliente NIS à lista de computadores com os quais a Sincronização de Senhas trabalha, cuidando para habilitar a sincronização de UNIX para Windows e desabilitar a sincronização Windows para UNIX. A sincronização de Windows para UNIX deve ser habilitada somente para o servidor mestre NIS. Para obter mais informações sobre como incluir e configurar computadores, consulte Incluindo ou removendo computadores para sincronização e Configurando propriedades de sincronização específicas para computadores.
-
Instale o módulo de autenticação conectável (PAM) de Sincronização de Senhas em cada cliente NIS e, em seguida, copie o arquivo sso.conf do servidor mestre para o diretório /etc desses clientes. Para obter mais informações, consulte Instalar o módulo de autenticação conectável Sincronização de Senha.
-
Se o servidor mestre NIS for um computador com Windows executando Servidor para NIS, copie Sso.cfg para um dos clientes NIS, defina SYNC_HOSTS para especificar o computador executando Servidor para NIS como o computador com Windows com o qual as senhas serão sincronizadas. Em seguida, copie o arquivo para os outros clientes UNIX. Consulte Usar sso.conf para configurar Sincronização de Senha em computadores baseados em UNIX para saber mais sobre as configurações deste arquivo.
-
Configure cada computador UNIX para permitir que os usuários utilizem o comando yppasswd para alterar suas senhas. Para isso, substitua o arquivo binário yppasswd no computador UNIX com um link para o arquivo binário passwd e, em seguida, edite o arquivo /etc/nsswitch.conf para substituir as linhas passwd e shadow pelo seguinte:
Depois disso, quando um usuário executar o comando yppasswd para alterar a senha do usuário, na verdade será executado o arquivo binário passwd para alterar a senha. Se a entrada passwd do usuário não for encontrada nos arquivos locais passwd e shadow, a senha NIS será alterada.passwd: files [NOTFOUND=continue] nis shadow files [NOTFOUND=continue] nis