了解密碼同步化
密碼同步化可協助整合 Windows 與 UNIX 網路,方法是簡化在這兩個環境中維護安全密碼的程序。使用者不需要針對 Windows 和 UNIX 帳戶維護不同的密碼,也不需要記得去用到密碼的各個位置一一變更。使用密碼同步化時,只要使用者的密碼在某個 Windows 電腦或網域中變更了,則該使用者擁有帳戶的每部 UNIX 主機上,密碼也會自動變更。密碼同步化也能設定為當使用者的 UNIX 密碼變更時,該使用者的 Windows 密碼也自動跟著變更。
如此可讓您從單一電腦管理所有密碼,簡化了系統管理員與個別使用者的工作。密碼同步化同時具有下列彈性:系統管理員可以排除特定使用者和電腦,不進行同步處理。密碼同步化可以針對獨立 Windows 電腦 (例如執行 Windows 2000 Server 但不屬於任何網域的電腦) 或整個 Windows 網域,同步處理其中的密碼。同樣地,密碼同步化也可以在個別 UNIX 主機或網路資訊服務 (NIS) 網域中的所有電腦上,用來管理其中的密碼。
密碼同步化的運作方式
密碼同步化會以安全方式傳播密碼,方法是透過 TCP/IP socket 只傳輸經過加密的密碼。如此就不用透過不安全的方法 (例如指令碼) 從遠端管理密碼。密碼也會立即同步處理。這表示,密碼從在一個系統中變更到在所有受影響系統中變更,這之間不會有太明顯的時間延遲,而不像 rdist 等方法是將密碼傳播批次處理。這樣可消除作用中使用者的混淆與不悅。更重要的是,如果必須變更密碼以封鎖某個使用者存取網路,立即同步處理能將潛在的安全性風險降至最低。為了更進一步增強網路安全,可針對每組 Windows 電腦與 UNIX 主機配對,使用不同的加密金鑰。
密碼同步化包含三個軟體元件:
-
在一或多部 Windows 電腦上執行的密碼同步化服務
-
在一或多部 UNIX 電腦上執行的密碼同步化精靈
-
在一或多部 UNIX 電腦上安裝的密碼同步化插入式驗證模組 (PAM)。
當密碼同步化設定為 Windows 至 UNIX 同步處理,且執行密碼同步化的 Windows 電腦上有密碼產生變更,則密碼同步化服務會判斷該使用者密碼是否需要在 UNIX 電腦上進行同步處理。若需要同步處理,服務便會加密該密碼,然後將其傳送給 Windows 電腦設定為要同步處理之每部電腦上的密碼同步化精靈。接著精靈會將密碼解密,然後變更 UNIX 主機上的密碼。如果 UNIX 主機是 NIS 主要伺服器並已設定為進行同步處理,那麼精靈也會執行 make,將密碼變更傳播給整個 NIS 網域。
若密碼同步化是設定為 UNIX 至 Windows 同步處理,則在 UNIX 主機上變更的密碼,會在 Windows 電腦及網域中同步處理。密碼同步化 PAM 模組負責執行這項任務,方法是截取到 UNIX 主機上的密碼變更要求後,它會加密密碼,然後將密碼變更要求傳送給設定為要同步處理之 Windows 電腦上所執行的密碼同步化服務。