移轉網路資訊服務 (NIS) 網域的最佳作法

  • 執行實際移轉之前,請謹慎檢閱 Identity Management for UNIX 說明中的「檢查清單:將 NIS 對應移轉到 Active Directory 網域服務」。

  • 啟動精靈之前,請決定您要移轉的網域是否應該保留為單獨的網域,或應該與 Server for NIS 上的其他網域合併。

  • 如果您要個別移轉對應,則在移轉 groupshadow 對應之前,應先移轉 passwd 對應。這可確保會適當的儲存 UNIX 密碼。

  • 在您啟動精靈之前,請確定已了解非標準對應的結構。特別是,您應該知道欄位分隔符號、索引鍵欄位、檔名和對應名稱。只會使用一個索引鍵來存取非標準對應。

  • 請先使用 NIS 資料移轉精靈中的預設 [不要移轉 (只記錄)] 選項,如此 Server for NIS 會測試所有移轉步驟,但實際上不會移轉資料。分析記錄檔並決定發生對應衝突時要如何處理之後,再次執行精靈,然後選取 [移轉和記錄] 選項。

  • 檢查記錄之後,在移轉資料之前先更正問題。如果 Windows 和 NIS 網域中有相同的使用者名稱,請判斷重複的使用者名稱是否表示同樣的人員。如果不是,請變更其中一位使用者的使用者名稱。如果使用者名稱代表相同的人員,請判斷 UNIX 內容是否一樣。如果不是,請判斷哪個為正確。接著,可以保留 Active Directory 網域服務 (AD DS) 中現有的項目,或者以 UNIX 對應中的資訊來覆寫。

  • 如果測試移轉時沒有報告任何衝突,但在實際移轉時報告了衝突,這可能是 NIS 對應本身有衝突。在已選取 [只記錄] 選項的情況下執行精靈時,只會報告 NIX 對應和 AD DS 之間的衝突,而不會報告 NIS 對應本身的衝突。如果在實際移轉時發生衝突,請解決 NIS 對應中的衝突,然後使用命令列 nis2ad –r yes 選項來移轉未移轉的 NIS 資料。

使次級伺服器保持為最新

如果 NIS 網域為作用中 (也就是說,網域經常發生變更),您應該提高 Server for NIS 檢查變更的頻率。這樣可確保主要伺服器上登錄變更之後,會及早更新 UNIX 次級伺服器。您也可以使用 [Identity Management for UNIX] 嵌入式管理單元之 [動作] 窗格的 [立即檢查更新] 命令,立即更新次級伺服器。

請勿將 NIS 網域移轉到多個 Active Directory 網域

雖然您可以將 NIS 網域移轉到多個 Windows 網域中執行 Server for NIS 的電腦,仍強烈建議不這樣做,因為在某個 Windows 網域中進行的變更,不會複寫到其他網域。

防止使用者使用 yppasswd 變更 NIS 密碼

使用者應該透過變更其 Windows 密碼的方式,來變更其 NIS 密碼。Server for NIS 會變更 NIS 密碼以讓兩者相符。

Server for NIS 並不完全支援可在 UNIX 系統上使用的 yppasswd 公用程式。當使用者執行 yppasswd 時,Server for NIS 會變更 NIS passwd 對應中的使用者密碼。由於 yppasswd 在將新密碼傳送到 NIS 主要伺服器之前會先加密,所以 Server for NIS 無法取得純文字密碼來設定使用者的 Windows 密碼。如此,使用者的 Windows 密碼和 UNIX 密碼就會不一樣。此外,yppasswd 會暴露安全性風險,因為它會以純文字傳送過時的舊密碼。由於使用者的舊密碼也可能是目前的 Windows 密碼,這樣會對網路上未獲授權的使用者公開使用者的 Windows 密碼。

使用密碼同步化,即可對使用者提供以 yppasswd 命令來變更其 NIS 密碼的方法。如需相關資訊,請參閱 Identity Management for UNIX 說明中的「與 NIS 網域同步處理密碼」。

請參閱


目錄