與 NIS 網域同步處理密碼

藉由使用密碼同步化,您可以在 Windows 網域及網路資訊服務 (NIS) 網域之間提供單向 (Windows 至 UNIX) 及雙向的密碼同步化。無論 NIS 網域的主要伺服器是執行 UNIX 作業系統或是執行 Server for NIS 的 Windows 電腦,以上程序都能進行無礙。

如果 NIS 主要伺服器執行的是 UNIX 作業系統,則提供單向同步處理所需的程序,就是在所有您要執行密碼同步化的來源 Windows 電腦上 (例如在網域控制站上) 安裝密碼同步化,然後在 NIS 主要伺服器上安裝單一登入精靈 (SSOD)。接著編輯 NIS 主要伺服器的 sso.conf 檔案,執行下列步驟:

  • USE_NIS 設定為 1

  • 設定 NIS_UPDATE_PATH 以指定 NIS Makefile 的位置。

此步驟可指示 SSOD 執行 Makefile,並在收到 Windows 網域發出的密碼變更要求時,推入此變更過的對應。如需相關資訊與其他指示,請參閱在 UNIX 電腦安裝密碼同步化精靈

如果 NIS 網域的主要伺服器是 Server for NIS,則提供從 Windows 至 UNIX 單向密碼同步化,方法是在 [密碼同步化內容] 對話方塊的 [設定] 索引標籤中,選取 [Windows 至 NIS (Active Directory) 密碼同步化] 區域中的 [啟用]。由於啟用 Windows 至 NIS (Active Directory) 密碼同步化會導致密碼承受更大的未經授權使用風險,所以選取 [啟用] 時,系統會提示您執行樹系中所有網域控制站的相容性檢查,以確定所有網域控制站都具有可協助防護使用者密碼的最低安全性功能。

如果您需要與不屬於 NIS 網域的 UNIX 電腦同步處理密碼,請在 Windows Active Directory 網域服務網域控制站上安裝密碼同步化,然後依本主題稍早所述設定 UNIX 電腦。

執行下列動作,可以對這兩種類型的 NIS 網域提供 UNIX 至 Windows 同步處理。

  • 如果 NIS 主要伺服器執行的是 UNIX 作業系統,請依本主題稍早所述,為伺服器設定單向同步處理。

  • 在所有網域控制站上安裝密碼同步化。如果 NIS 主要伺服器執行的是 UNIX 作業系統,則在 Windows 伺服器上設定密碼同步化,以與主要伺服器進行雙向同步處理。最後,將每個 NIS 用戶端加入要參與密碼同步化的電腦清單,並啟用 UNIX 至 Windows 同步處理以及停用 Windows 至 UNIX 同步處理。只應啟用 NIS 主要伺服器的 Windows 至 UNIX 同步處理。如需新增及設定電腦的相關資訊,請參閱新增或移除同步處理的電腦設定電腦特定的同步處理內容

  • 在每個 NIS 用戶端上安裝密碼同步化插入式驗證模組 (PAM),然後將 sso.conf 檔案從主要伺服器複製到這些用戶端的 /etc 目錄。如需相關資訊,請參閱安裝密碼同步化插入式驗證模組

  • 如果 NIS 主要伺服器是執行 Server for NIS 的 Windows 電腦,則請將 Sso.cfg 複製到其中一個 NIS 用戶端,設定 SYNC_HOSTS 以指定執行 Server for NIS 的電腦做為要與之同步密碼的 Windows 電腦,然後將此檔案複製到其他 UNIX 用戶端。若要深入了解此檔案中的設定,請參閱在 UNIX 電腦上使用 sso.conf 來設定密碼同步化

  • 設定每台 UNIX 電腦,允許使用者使用 yppasswd 命令來變更他們的密碼。若要這樣做,請以指向 passwd 二進位檔案的連結來取代 UNIX 電腦上的 yppasswd 二進位檔案,然後編輯 /etc/nsswitch.conf 檔案,以下列取代 passwd 與 shadow 行:

    passwd:  files [NOTFOUND=continue] nis
    shadow:  files [NOTFOUND=continue] nis
    完成之後,當使用者執行 yppasswd 命令來變更使用者的密碼時,實際上是執行 passwd 二進位檔案來變更密碼。如果在本機 passwd 與 shadow 檔案中找不到使用者的 passwd 項目,則會改為變更 NIS 密碼。