了解密码同步

“密码同步”通过简化在 Windows 和 UNIX 环境中保证密码安全的过程,帮助将 Windows 网络和 UNIX 网络集成在一起。用户不必艰难地为 Windows 帐户和 UNIX 帐户维护单独的密码,也不必在任何地点使用后都要记住更改密码。通过“密码同步”,只要在基于 Windows 的计算机或域上更改了用户的密码,在该用户拥有帐户的每台 UNIX 主机上也会自动更改密码。还可以将“密码同步”配置为在用户的 UNIX 密码更改时,自动更改用户的 Windows 密码。

这样,您可以从一台计算机管理密码,从而简化了管理员以及各个用户的工作。“密码同步”还很灵活:管理员可以使特定的用户和计算机取消参与同步。“密码同步”可以在基于 Windows 的独立计算机(例如不属于某个域的运行 Windows 2000 Server 的计算机)上同步密码,也可以为整个基于 Windows 的域同步密码。同样,“密码同步”还可以用于管理单个 UNIX 主机上的密码,也可以用于管理网络信息服务 (NIS) 域中的所有计算机上的密码。

密码同步的工作原理

“密码同步”通过只借助 TCP/IP 套接字传输加密密码,可以安全地传播密码。这样,就不必使用不安全的方法(例如脚本)来远程管理密码。密码也会立即同步。这意味着,与 rdist 等方法(批量传播密码)不同,在一个系统上更改密码与在所有其他受影响的系统上更改密码之间没有明显的延迟。这样可以避免活动用户产生混淆和不满。重要的是,如果必须通过更改密码来阻止用户访问网络,这样做可以消除潜在的安全风险。为了进一步提高网络的安全性,可以对每个基于 Windows 的计算机和 UNIX 主机对使用不同的加密密钥。

“密码同步”是下列三种软件组件的组合:

  • 在一台或多台基于 Windows 的计算机上运行的“密码同步”服务

  • 在一台或多台 UNIX 计算机上运行的“密码同步”守护程序

  • 在一台或多台 UNIX 计算机上安装的“密码同步”可插入身份验证模块 (PAM)

如果将“密码同步”配置为进行 Windows 到 UNIX 的同步,并且在运行“密码同步”的基于 Windows 的计算机上更改了密码,“密码同步”服务将确定是否要在 UNIX 计算机上同步用户的密码。如果是,服务将对密码进行加密,并将其发送到每台计算机上的“密码同步”守护程序。这里的“每台计算机”是基于 Windows 的计算机被配置为要与之进行同步的计算机。然后,该守护程序对密码进行解密,并更改 UNIX 主机上的密码。如果 UNIX 主机是 NIS 主服务器,并且进行了相应配置,守护程序还会运行 make 在 NIS 域中传播密码更改。

如果将“密码同步”配置为进行 UNIX 到 Windows 的同步,在 UNIX 主机上更改的密码会在基于 Windows 的计算机和域上进行同步。(抽样结束) 为此,“密码同步”PAM 模块截获 UNIX 主机上的密码更改请求,对密码进行加密,然后将密码更改请求发送到配置为要被同步的基于 Windows 的计算机上运行的“密码同步”服务。

请参阅