与 NIS 域同步密码
使用“密码同步”,可以在 Windows 域与网络信息服务 (NIS) 域之间进行单向(Windows 到 UNIX)密码同步和双向密码同步。无论 NIS 域的主服务器正在运行基于 UNIX 的操作系统,或是运行“NIS 服务器”的基于 Windows 的计算机,均可以这样做。
如果 NIS 主服务器正在运行基于 UNIX 的操作系统,若要进行单向同步,只需要在所有要从其同步密码的基于 Windows 的计算机上(例如在域控制器上)安装“密码同步”,并在 NIS 主服务器上安装单一登录守护程序 (SSOD)。然后,编辑 NIS 主服务器上的 sso.conf 文件,执行下列操作:
-
将 USE_NIS 设置为 1。
-
设置 NIS_UPDATE_PATH 以指定 NIS 生成文件的位置。
这样将指示 SSOD 只要收到来自 Windows 域的密码更改请求,就运行生成文件并推送已更改的映射。有关详细信息和其他说明,请参阅在基于 UNIX 的计算机上安装密码同步守护程序。
如果 NIS 服务器是 NIS 域的主服务器,可以提供从 Windows 到 UNIX 的单向密码同步,方法是在“密码同步属性”对话框的“配置”选项卡上,在“Windows 到 NIS (Active Directory) 的密码同步”区域选中“启用”。由于启用 Windows 到 NIS (Active Directory) 的密码同步可能会增大未经授权使用密码的风险,所以,选中“启用”将提示您对林中的所有域控制器运行兼容性检查,以验证是否拥有帮助保护用户密码所需的最低安全功能。
如果需要与不属于 NIS 域的 UNIX 计算机同步密码,在基于 Windows 的 Active Directory 域服务 域控制器上安装“密码同步”并配置 UNIX 计算机(如本主题前面所述)。
可以通过执行下列操作,为 UNIX 和 Windows 两种类型的 NIS 域提供 UNIX 到 Windows 的同步。
-
如果 NIS 主服务器运行的是基于 UNIX 的操作系统,将服务器配置为进行单向同步(如本主题前面所述)。
-
在所有域控制器上安装“密码同步”。如果 NIS 主服务器运行的是基于 UNIX 的操作系统,将基于 Windows 的服务器上的“密码同步”配置为与主服务器进行双向同步。最后,将每个 NIS 客户端添加到“密码同步”要处理的计算机的列表,注意启用 UNIX 到 Windows 的同步并禁用 Windows 到 UNIX 的同步。只有 NIS 主服务器应启用 Windows 到 UNIX 的同步。有关添加和配置计算机的详细信息,请参阅添加或删除参与同步的计算机和设置计算机特定的同步属性。
-
在每个 NIS 客户端上安装“密码同步”可插入验证模块 (PAM),然后将主服务器中的 sso.conf 文件复制到这些客户端的 /etc 目录。有关详细信息,请参阅安装密码同步可插入身份验证模块。
-
如果 NIS 主服务器是运行“NIS 服务器”的基于 Windows 的计算机,则将 Sso.cfg 复制到任一个 NIS 客户端,设置 SYNC_HOSTS,以便将运行“NIS 服务器”的计算机指定为要与其同步密码的基于 Windows 的计算机,然后将该文件复制到其他 UNIX 客户端。有关此文件中的设置的详细信息,请参阅使用 sso.conf 在基于 UNIX 的计算机上配置密码同步。
-
配置每台 UNIX 计算机,使用户可以使用 yppasswd 命令更改其密码。为此,将 UNIX 计算机上的 yppasswd 二进制文件替换为指向 passwd 二进制文件的链接,然后编辑 /etc/nsswitch.conf 文件,将 passwd 和 shadow 行替换为以下行:
之后,当用户运行 yppasswd 命令更改用户密码时,实际上是运行 passwd 二进制文件更改密码。如果在本地 passwd 和 shadow 文件中未找到用户的 passwd 条目,则更改 NIS 密码。passwd: files [NOTFOUND=continue] nis shadow: files [NOTFOUND=continue] nis