Sincronizar palavras-passe com um domínio NIS
Ao utilizar a Sincronização de Palavra-passe, pode fornecer sincronização unidireccional (Windows para UNIX) e a sincronização de palavra-passe bidireccional entre domínios Windows e domínios NIS (Network Information Service). Pode efectuar esta operação independentemente de o servidor mestre do domínio NIS ter um sistema operativo baseado em UNIX ou computador baseado em Windows com o Servidor para NIS.
Se o servidor mestre tiver um sistema operativo baseado em UNIX, tudo o que é necessário é fornecer sincronização unidireccional para instalar Sincronização de Palavra-passe em todos os computadores baseados em Windows (por exemplo, nos controladores de domínio) a partir dos quais pretende sincronizar palavras-passe e, em seguida, instalar o daemon de início de sessão único (SSOD) no servidor mestre NIS. Em seguida, edite o ficheiro sso.conf no servidor mestre NIS para efectuar o seguinte:
-
Defina USE_NIS para 1.
-
Defina NIS_UPDATE_PATH para especificar a localização do makefile NIS.
Deste modo, o SSOD é instruído para executar o ficheiromake e emitir os mapas alterados sempre que for recebido um pedido de alteração de palavra-passe do domínio Windows. Para mais informações e instruções adicionais, consulte Instalar o daemon de Sincronização de Palavra-Passe em computadores baseados em UNIX.
Se o Servidor para NIS for o servidor mestre para o domínio NIS, pode fornecer a sincronização de palavra-passe unidireccional de Windows para UNIX seleccionando Activar na área Sincronização de palavra-passe do Windows para NIS (Active Directory) do separador Configuração na caixa de diálogo Propriedades de Sincronização de Palavra-passe. Como a activação da sincronização de palavra-passe do Windows para NIS (Active Directory) pode expor palavras-passe a um maior risco de utilização não autorizada, ao seleccionar Activar é-lhe pedida a execução de uma verificação de compatibilidade de todos os controladores de domínio, na floresta, para verificar se têm o mínimo de funcionalidades de segurança para ajudar a proteger as palavras-passe de utilizador.
Se necessitar de sincronizar palavras-passe com computadores UNIX que não façam parte do domínio NIS, instale os controladores de domínio de Sincronização de Palavra-passe baseada em Windows dos Serviços do domínio Active Directory e configure os computadores UNIX conforme é descrito anteriormente neste tópico.
Pode fornecer sincronização UNIX para Windows para ambos os tipos de domínio NIS procedendo do modo seguinte.
-
Se o servidor mestre NIS tiver um sistema operativo baseado em UNIX, configure o servidor para sincronização unidireccional conforme anteriormente descrito neste tópico.
-
Instalar a Sincronização de Palavra-passe em todos os controladores de domínio. Se o servidor mestre NIS tiver um sistema operativo baseado em UNIX, configure a Sincronização de Palavra-passe em servidores baseados em Windows para sincronização bidireccional com o servidor mestre. Por fim, adicione cada cliente NIS à lista de computadores com os quais a Sincronização de Palavra-passe funciona, tomando a precaução de activar a sincronização UNIX para Windows e de desactivar a sincronização Windows para UNIX. A sincronização Windows para UNIX só deve estar activada para o servidor mestre NIS. Para mais informações sobre a adição e configuração de computadores, consulte Adicionar ou remover computadores da sincronização e Definir propriedades de sincronização específicas do computador.
-
Instale o PAM (pluggable authentication module) de Sincronização de Palavra-passe em cada cliente NIS e, em seguida, copie o ficheiro sso.conf do servidor mestre para o directório /etc desses clientes. Para mais informações, consulte Instalar o módulo de autenticação incorporável de Sincronização de Palavra-Passe.
-
Se o servidor mestre NIS for um computador baseado em Windows com o Servidor para NIS em execução, copie o ficheiro Sso.cfg para um dos clientes NIS, defina SYNC_HOSTS para especificar o computador com o Servidor para NIS em execução como o computador baseado em Windows com o qual vai sincronizar palavras-passe e, em seguida, copie o ficheiro para os outros clientes UNIX. Para obter mais informações sobre as definições deste ficheiro, consulte Utilizar sso.conf para configurar a Sincronização de Palavra-Passe em computadores baseados em UNIX.
-
Configure cada computador UNIX para permitir aos utilizadores utilizar o comando yppasswd para alterar as palavras-passe. Para tal, substitua o ficheiro binário yppasswd no computador UNIX por uma hiperligação ao ficheiro binário passwd e, sem seguida, edite o ficheiro /etc/nsswitch.conf para substituir as linhas passwd e shadow pelo seguinte:
Depois de o fazer, quando um utilizador executar o comando yppasswd para alterar a palavra-passe de utilizador, na realidade é o ficheiro binário passwd que é executado para alterar a palavra-passe. Se a entrada passwd do utilizador não for encontrada nos ficheiros passwd e shadow locais, será alterada a palavra-passe NIS em seu lugar.passwd: files [NOTFOUND=continue] nis shadow: files [NOTFOUND=continue] nis