Синхронизация паролей с NIS-доменом

С помощью службы синхронизации паролей можно выполнять одностороннюю (из Windows в UNIX) и двустороннюю синхронизацию паролей между доменами Windows и NIS-доменами. Синхронизация возможна независимо от того, работает ли главный сервер NIS-домена под управлением ОС UNIX или он является компьютером Windows, на котором установлен сервер для NIS.

Если главный NIS-сервер работает под управлением UNIX, для односторонней синхронизации потребуется лишь установить службу синхронизации паролей на всех компьютерах Windows (например, на контроллерах домена), с которых будут синхронизироваться пароли, а затем установить управляющую программу единого входа (SSOD) на главном NIS-сервере. После этого нужно внести следующие изменения в файл sso.conf на главном NIS-сервере:

  • присвоить параметру USE_NIS значение 1;

  • указать в параметре NIS_UPDATE_PATH путь к файлу makefile для NIS.

Эти параметры служат инструкцией для SSOD запускать файл makefile и принудительно отправлять измененные сопоставления всякий раз по получении запроса на изменение пароля от домена Windows. Дополнительные сведения и инструкции см. в разделе Установка управляющей программы синхронизации паролей на компьютеры UNIX.

Если NIS-сервер является главным сервером NIS-домена, то для выполнения односторонней синхронизации из Windows в UNIX можно в диалоговом окне Свойства: синхронизация паролей на вкладке Конфигурация в области Синхронизация паролей от Windows к NIS (Active Directory) выбрать переключатель Задействовать. Поскольку включение синхронизации паролей из Windows в NIS (Active Directory) может повысить риск несанкционированного использования паролей, при выборе Задействовать появится приглашение проверить совместимость всех контроллеров домена в лесу, чтобы убедиться в наличии у них минимальных параметров безопасности для защиты паролей пользователей.

Чтобы синхронизировать пароли с компьютерами UNIX, которые не принадлежат NIS-домену, установите службу синхронизации паролей на контроллерах домена Службы домена Active Directory под управлением Windows и настройте компьютеры UNIX, как это описано в начале раздела.

Чтобы обеспечить синхронизацию из UNIX в Windows для обоих типов NIS-доменов, выполните указанные ниже действия.

  • Если главный NIS-сервер работает под управлением ОС UNIX, настройте его для односторонней синхронизации, как описано в начале раздела.

  • Установите службу синхронизации паролей на все контроллеры домена. Если главный NIS-сервер работает под управлением ОС UNIX, настройте на серверах под управлением Windows двустороннюю синхронизацию с этим главным сервером. Наконец, добавьте все NIS-клиенты в список компьютеров, участвующих в синхронизации паролей. При этом не забудьте включить синхронизацию из UNIX в Windows и отключить синхронизацию из Windows в UNIX. Синхронизация из Windows в UNIX должна быть включена только для главного NIS-сервера. Дополнительные сведения о добавлении и настройке компьютеров см. в разделах Добавление компьютеров в список участвующих в синхронизации и удаление их из этого списка и Задание свойств синхронизации для компьютера.

  • Установите подключаемый модуль проверки подлинности (PAM) для синхронизации паролей на всех NIS-клиентах, а затем скопируйте файл sso.conf с главного сервера в каталог /etc этих клиентов. Дополнительные сведения см. в разделе Установка подключаемого модуля проверки подлинности для синхронизации паролей.

  • Если главный NIS-сервер является компьютером Windows, на котором установлен сервер для NIS, скопируйте файл Sso.cfg на один из NIS-клиентов, укажите в параметре SYNC_HOSTS компьютер Windows с сервером для NIS, с которым необходимо синхронизировать пароли, а затем скопируйте этот файл на другие UNIX-клиенты. Дополнительные сведения о параметрах, содержащихся в этом файле, см. в разделе Использование файла sso.conf для настройки синхронизации паролей на компьютерах UNIX.

  • На каждом компьютере UNIX предоставьте пользователям разрешение изменять свои пароли с помощью команды yppasswd. Для этого замените двоичный файл yppasswd на компьютере UNIX ссылкой на двоичный файл passwd, а затем замените в файле /etc/nsswitch.conf строки passwd и shadow следующими строками:

    passwd:  files [NOTFOUND=continue] nis
    shadow:  files [NOTFOUND=continue] nis
    
    После этого при выполнении пользователем команды yppasswd для изменения пароля фактически будет запускаться двоичный файл passwd, который и меняет пароль. Если пользовательская запись passwd не найдена в локальных файлах passwd и shadow, будет изменен пароль NIS.