“密码同步”通过简化在 Windows 和 UNIX 环境中保证密码安全的过程,帮助将 Windows 网络和 UNIX 网络集成在一起。通过“密码同步”,在网络中基于 UNIX 的计算机上安装实用程序,用于检测基于 Windows 的计算机或域上的密码更改,然后自动在用户拥有帐户的每台 UNIX 主机上更新密码。也可以将“密码同步”配置为在用户的 UNIX 密码更改时更改用户的 Windows 密码。
注意
可以在下列三种方案的任意一种方案中安装“密码同步”。
-
希望在主服务器是运行“NIS 服务器”的基于 Windows 的计算机的 NIS 域中同步密码。请参阅本主题中的设置“密码同步”,以便用于 NIS 域(“NIS 服务器”主服务器)。
-
希望在主服务器是基于 UNIX 的 NIS 服务器的 NIS 域中同步密码。请参阅本主题中的设置“密码同步”,以便用于 NIS 域(基于 UNIX 的主服务器)。
-
希望为连接到 Windows 计算机的基于 UNIX 的独立主机的用户同步密码。请参阅本主题中的设置“密码同步”,以便用于基于 UNIX 的独立主机。
只能在 Active Directory 域服务 域控制器上安装“密码同步”。
设置“密码同步”,以便用于 NIS 域(“NIS 服务器”主服务器)
步骤 | 参考 | |
---|---|---|
了解有关“密码同步”的信息。 |
||
以架构管理员和企业管理员两个组的成员的身份登录。 |
| |
在所有域控制器上安装“密码同步”。 |
||
设置密码加密密钥。 |
||
根据需要更改其他设置。确保在“密码同步属性”对话框的“常规”选项卡上,选中“密码同步方向”区域中的“UNIX 到 Windows”复选框。 |
||
如果将与其同步密码的基于 UNIX 的计算机不是网络信息服务 (NIS) 域的成员,则添加这些计算机。对于每台计算机,在列表中选择该计算机,单击“属性”,清除“向此计算机同步密码更改”复选框,选中“从此计算机同步密码更改”复选框,然后单击“确定”。如果希望使用非默认值,还可以指定端口号、加密密钥或两者的值。 |
设置“密码同步”,以便用于 NIS 域(基于 UNIX 的主服务器)
步骤 | 参考 | |
---|---|---|
了解有关“密码同步”的信息。 |
||
以架构管理员和企业管理员两个组的成员的身份登录。 |
| |
在相应的基于 Windows 的计算机上安装“密码同步”。如果要同步服务器上本地帐户的密码,则在该服务器上安装“密码同步”。如果要同步 Windows 域密码,则在所有域控制器上安装“密码同步”。 |
||
设置密码加密密钥。 |
||
根据需要更改其他设置。确保在“密码同步属性”对话框的“常规”选项卡上,选中“密码同步方向”区域中的“UNIX 到 Windows”复选框。 |
||
将网络信息服务 (NIS) 主服务器添加到基于 Windows 的计算机要与其同步密码的计算机的列表。 |
||
如果将与其同步密码的基于 UNIX 的计算机不是网络信息服务 (NIS) 域的成员,则添加这些计算机。对于每台计算机,在“添加计算机”对话框的“常规”选项卡上,清除“向此计算机同步密码更改”复选框,选中“从此计算机同步密码更改”复选框,然后单击“确定”。如果希望使用非默认值,还可以指定端口号、加密密钥或两者的值。 |
||
指定有权同步密码的用户。 |
||
确保域中所有域控制器上的“密码同步”配置相同。 |
|
配置基于 UNIX 的计算机,以便使用“密码同步”
步骤 | 参考 | |
---|---|---|
在 NIS 主服务器上安装并配置“密码同步”单一登录守护程序 (SSOD)。确保更改 sso.conf 文件中的默认加密密钥,使其与在前面的步骤中设置的“密码同步”加密密钥匹配,然后再将其复制到服务器,并编辑 sso.conf,以指定下列设置:
|
||
将 NIS 主服务器中的 sso.conf 文件复制到每台安装了“密码同步”PAM 模块的计算机的 /etc 目录。 |
| |
在每个安装了“密码同步”可插入身份验证模块 (PAM) 的 NIS 客户端上,将 yppasswd 二进制文件替换为指向 passwd 二进制文件的链接,然后编辑 /etc/nsswitch.conf 文件,以更改文件的 passwd 和 shadow 行,如下所示: passwd: files [NOTFOUND=continue] nis shadow: files [NOTFOUND=continue] nis |
||
在 NIS 主服务器上启动“密码同步”守护程序。 |
设置“密码同步”,以便用于基于 UNIX 的独立主机
步骤 | 参考 | |
---|---|---|
了解有关“密码同步”的信息。 |
||
以架构管理员和企业管理员两个组的成员的身份登录。 |
| |
在所有基于 Windows 的域控制器上安装“密码同步”。如果要同步服务器上本地帐户的密码,则在该服务器上安装“密码同步”。如果要同步 Windows 域密码,则在所有域控制器上安装“密码同步”。 |
||
设置密码加密密钥。 |
||
根据需要更改其他设置。 |
||
如果将与其同步密码的基于 UNIX 的计算机不是网络信息服务 (NIS) 域的成员,则添加这些计算机。对于每台计算机,在“添加计算机”对话框的“常规”选项卡上,清除“向此计算机同步密码更改”复选框,选中“从此计算机同步密码更改”复选框,然后单击“确定”。如果希望使用非默认值,还可以指定端口号、加密密钥或两者的值。 |
||
确保域中所有域控制器上的“密码同步”配置相同。 |
|
配置基于 UNIX 的独立主机,以便使用“密码同步”
步骤 | 参考 | |
---|---|---|
在所有要与其同步密码的基于 UNIX 的计算机上安装并配置“密码同步”单一登录守护程序 (SSOD)。确保更改 sso.conf 文件中的默认加密密钥,使其与在前面的步骤中设置的“密码同步”加密密钥匹配,然后再将其复制到基于 UNIX 的计算机。 |
||
指定有权同步密码的用户。 |
||
启动“密码同步”守护程序。 |
||
在所有要将其密码更改与 Windows 密码同步的基于 UNIX 的计算机上安装并配置“密码同步”PAM。 |
其他参考
有关“密码同步”的详细信息,请参阅:
-
Windows Server 技术中心(可能为英文网页) 的 Active Directory 域服务 (https://go.microsoft.com/fwlink/?LinkId=48547)