Описание синхронизации паролей
Синхронизация паролей способствует интеграции сетей Windows и UNIX путем упрощения процесса обеспечения надежности паролей в обеих средах. Пользователи освобождаются от трудностей, связанных с сохранением отдельных паролей для учетных записей Windows и UNIX, или же от необходимости менять пароль в любых местах, где он используется. Благодаря синхронизации паролей всякий раз при изменении пароля в домене или на компьютере под управлением Windows этот пароль может также быть автоматически изменен в каждом узле UNIX, в котором пользователь имеет учетную запись. Синхронизацию паролей можно также настроить таким образом, чтобы при изменении пароля пользователя UNIX автоматически изменялся пароль пользователя Windows.
Это позволяет управлять паролями с одного компьютера, что упрощает работу администраторов, а также отдельных пользователей. Синхронизация паролей - достаточно гибкая процедура. Администраторы могут исключать отдельных пользователей и компьютеры из синхронизации. Синхронизация паролей может выполняться на изолированных компьютерах под управлением Windows (например, компьютерах под управлением Windows 2000 Server, которые не принадлежат домену) или же во всем домене Windows. Аналогично синхронизация паролей может использоваться для управления паролями в отдельных узлах UNIX или на всех компьютерах домена службы NIS.
Как выполняется синхронизация паролей
При синхронизации паролей они безопасно распространяются путем передачи только зашифрованных паролей через сокеты TCP/IP. Это освобождает от необходимости использовать незащищенные методы (например, сценарии) для удаленного управления паролями. Кроме того, синхронизация паролей выполняется сразу же. Это означает, что существенной задержки между изменением пароля в одной системе и вступлением в силу этого изменения во всех других затронутых системах не происходит, в отличие от таких методов, как rdist, который группирует распространяемые пароли в пакеты. Это помогает активным пользователям избегать путаницы и ошибок. И самое важное: это исключает потенциальный риск ослабления безопасности, если пароль необходимо изменить для блокирования доступа пользователя в сеть. Чтобы дополнительно усилить безопасность сети, можно использовать различные ключи шифрования для каждой пары, состоящей из компьютера под управлением Windows и узла UNIX.
Синхронизация паролей - это комбинация трех компонентов программного обеспечения:
- Служба синхронизации паролей, работающая на
одном или нескольких компьютерах под управлением Windows.
- Управляющая программа синхронизации паролей,
работающая на одном или нескольких компьютерах под управлением
UNIX.
- Подключаемый модуль проверки подлинности
(PAM) для синхронизации паролей, установленный на одном или
нескольких компьютерах под управлением UNIX.
Если настроена синхронизация паролей из Windows в UNIX и пароль меняется на компьютере под управлением Windows, на котором установлена синхронизация паролей, служба синхронизации паролей определяет, должен ли пароль пользователя синхронизироваться на компьютерах под управлением UNIX. Если это так, служба шифрует пароль и направляет его управляющей программе синхронизации паролей на каждом компьютере, с которыми на компьютере под управлением Windows была настроена синхронизация. После этого управляющая программа расшифровывает и меняет пароль в узле UNIX. Если узел UNIX является главным сервером NIS и настроен соответствующим образом, управляющая программа также запускает команду make, чтобы распространить измененный пароль в домене NIS.
Если настроена синхронизация паролей из UNIX в Windows, пароли, изменяемые в узлах UNIX, синхронизируются в доменах или на компьютерах под управлением Windows. Это происходит благодаря PAM-модулю синхронизации паролей, который перехватывает запрос на изменение пароля в узле UNIX, шифрует пароль, а затем отправляет запрос на изменение пароля в службу синхронизации паролей, установленную на компьютере под управлением Windows, с которым необходимо выполнить синхронизацию.