密码加密

基于 Windows 的计算机只能以加密文本的方式将更新的密码发送到基于 UNIX 的计算机或从其接收更新的密码。“密码同步”单一登录守护程序 (SSOD) 接收加密的密码,并对其进行解密,然后再请求更改 UNIX 主机上的密码。同样,如果将“密码同步”配置为支持 UNIX 到 Windows 的同步,可插入的身份验证模块 (PAM) 对密码进行加密,然后将其发送到基于 Windows 的计算机上的“密码同步”;该“密码同步”对密码进行解密,然后再请求更改基于 Windows 的计算机上的密码。

仅当“密码同步”和 SSOD 或 PAM 模块使用相同的加密密钥对密码进行加密和解密时,才能成功地对密码进行解密。在任何 UNIX 计算机上安装 SSOD 之前,必须先设置默认加密密钥。然后,在每台 UNIX 主机上安装 SSOD 时,必须在 sso.conf 文件中指定相同的密钥。这样可以确保“密码同步”和 UNIX 主机上的 SSOD 使用相同的加密密钥。有关设置默认加密密钥的详细信息,请参阅设置密码加密密钥。有关安装和配置 SSOD 的信息,请参阅在基于 UNIX 的计算机上安装密码同步守护程序

为了提高安全性,可以指定只在特定的基于 Windows 的计算机与 UNIX 主机之间使用的加密密钥。有关将“密码同步”配置为使用计算机特定的加密密钥的信息,请参阅设置计算机特定的同步属性。有关在 UNIX 计算机上设置计算机特定的加密密钥的信息,请参阅使用 sso.conf 在基于 UNIX 的计算机上配置密码同步

加密密钥的要求

加密密钥必须满足下列要求:

  • 长度必须是 16 到 21 个字符(建议使用 21 个字符)。

  • 必须包含来自下列四个组中至少三个组的字符:

    • 大写英文字母 (A–Z)

    • 小写英文字母 (a–z)

    • 西方阿拉伯数字 (0–9)

    • 标点符号 ` ~ ! @ # $ % ^ & * _ – + = | \ { } [ ] : ; \ " ' < > . ?

  • 不得包含左括号或右括号(即“(”或“)”字符)、逗号 (,) 或空格 ( )。