Synkronisera lösenord med en NIS-domän
Med hjälp av Lösenordssynkronisering kan du använda både enkelriktad (Windows-till-UNIX) och dubbelriktad synkronisering mellan Windows-domäner och NIS-domäner (Network Information Service). Detta kan du göra oavsett om huvudservern för NIS-domänen körs på ett UNIX-baserat operativsystem eller är en Windows-baserad dator som kör Server för NIS.
Om NIS-huvudservern körs på ett UNIX-baserat operativsystem behöver du bara installera Lösenordssynkronisering på alla Windows-baserade datorer (till exempel på domänkontrollanterna) som lösenorden ska synkroniseras från, och sedan installera SSOD (Single Sign-On Daemon) på NIS-huvudservern. Sedan redigerar du sso.conf-filen på NIS-huvudservern så här:
-
Tilldela USE_NIS värdet 1.
-
Ange platsen för NIS-make-filen för NIS_UPDATE_PATH.
Detta talar om för SSOD att make-filen ska köras och att ändrade mappningar ska skickas när en begäran om lösenordsändring tas emot från Windows-domänen. Mer information och instruktioner finns i Installera daemon för Lösenordssynkronisering på UNIX-baserade datorer.
Om Server för NIS är huvudserver för NIS-domänen kan du använda enkelriktad synkronisering av lösenord från Windows till UNIX om du väljer Aktivera under Lösenordssynkronisering från Windows till NIS (Active Directory) på fliken Konfiguration i dialogrutan Egenskaper för synkronisering av lösenord. När lösenordssynkronisering från Windows till NIS (Active Directory) aktiveras, ökar risken att obehöriga kommer åt lösenorden. Du uppmanas därför att köra en kompatibilitetskontroll för alla domänkontrollanter i skogen när du valt Aktivera för att verifiera att de innehåller tillräckliga säkerhetsfunktioner för att skydda användarlösenorden.
Om du måste synkronisera lösenord med UNIX-datorer som inte tillhör NIS-domänen installerar du Lösenordssynkronisering på Windows-baserade Active Directory-domäntjänster-domänkontrollanter och konfigurerar UNIX-datorerna enligt beskrivningen längre upp i det här avsnittet.
Du kan använda synkronisering från UNIX till Windows för båda typer av NIS-domäner genom att göra följande.
-
Om NIS-huvudservern körs på ett UNIX-baserat operativsystem konfigurerar du servern för enkelriktad synkronisering enligt beskrivningen ovan.
-
Installera Lösenordssynkronisering på alla domänkontrollanter. Om NIS-huvudservern körs på ett UNIX-baserat operativsystem konfigurerar du Lösenordssynkronisering på Windows-baserade servrar för dubbelriktad synkronisering med huvudservern. Lägg sedan till alla NIS-klienter i listan över datorer som fungerar med Lösenordssynkronisering och se till att aktivera synkronisering från UNIX till Windows och att inaktivera synkronisering från Windows till UNIX. Synkronisering från Windows till UNIX ska bara aktiveras för NIS-huvudservern. Mer information om att lägga till och konfigurera datorer finns i Lägga till eller ta bort datorer för synkronisering och Ange datorspecifika synkroniseringsegenskaper.
-
Installera PAM-modulen för Lösenordssynkronisering på alla NIS-klienter och kopiera sedan sso.conf-filen från huvudservern till /etc-katalogen på klienterna. Mer information finns i Installera PAM-modulen (Pluggable Authentication Module) för lösenordssynkronisering.
-
Om NIS-huvudservern är en Windows-baserad dator som kör Server för NIS kopierar du sso.cfg till en av NIS-klienterna så att SYNC_HOSTS anger datorn som kör Server för NIS som den Windows-baserade dator som lösenorden ska synkroniseras med. Kopiera sedan filen till de andra UNIX-klienterna. Se Använda sso.conf för att konfigurera Lösenordssynkronisering på den UNIX-baserade datorer om du vill veta mer om inställningarna i den här filen.
-
Konfigurera alla UNIX-datorer så att användarna kan använda kommandot yppasswd för att ändra sina lösenord. Ersätt då yppasswd-binärfilen på UNIX-datorn med en länk till passwd-binärfilen och redigera sedan /etc/nsswitch.conf-filen så att passwd- och shadow-raderna ersätts med följande:
När en användare sedan kör kommandot yppasswd för att ändra lösenordet är det i själva verket passwd-binärfilen som körs. Om användarens passwd-post inte hittas i de lokala passwd- och shadow-filerna ändras NIS-lösenordet i stället.passwd: files [NOTFOUND=continue] nis shadow: files [NOTFOUND=continue] nis