Synchronisieren von Kennwörtern mit einer NIS-Domäne

Mit der Kennwortsynchronisierung können Sie eine unidirektionale (Windows-zu-UNIX) und eine bidirektionale Kennwortsynchronisierung zwischen Windows-Domänen und NIS-Domänen (Network Information Service, Netzwerkinformationsdienst) zur Verfügung stellen. Dies ist unabhängig davon möglich, ob der Masterserver der NIS-Domäne unter einem UNIX-basierten Betriebssystem ausgeführt wird oder ob er ein Windows-basierter Computer mit Server für NIS ist.

Bei einem NIS-Masterserver unter einem UNIX-basierten Betriebssystem ist für eine unidirektionale Synchronisierung nur noch die Installation der Kennwortsynchronisierung auf allen Windows-basierten Computern (z. B. auf den Domänencontrollern) erforderlich, für die Kennwörter synchronisiert werden sollen. Dann muss noch der Daemon für einmaliges Anmelden (Single Sign-on Daemon, SSOD) auf dem NIS-Masterserver installiert werden. Bearbeiten Sie dann die Datei sso.conf auf dem NIS-Masterserver folgendermaßen:

  • Legen Sie USE_NIS auf 1 fest.

  • Legen Sie NIS_UPDATE_PATH auf den Speicherort des NIS-Makefiles fest.

Damit wird SSOD angewiesen, das Makefile auszuführen und die geänderten Zuordnungen weiterzuleiten, und zwar immer dann, wenn eine Anforderung zu einer Kennwortänderung von der Windows-Domäne empfangen wird. Weitere Informationen und zusätzliche Anleitungen finden Sie unter Installieren des Daemons für die Kennwortsynchronisierung auf UNIX-basierten Computern.

Wenn Server für NIS als Masterserver für die NIS-Domäne fungiert, können Sie eine unidirektionale Synchronisierung von Windows zu UNIX bereitstellen. Wählen Sie dazu im Dialogfeld Eigenschaften von Kennwortsynchronisierung auf der Registerkarte Konfiguration im Bereich Windows nach NIS (Active Directory)-Kennwortsynchronisierung die Option Aktivieren aus. Das Aktivieren der Windows nach NIS (Active Directory)-Kennwortsynchronisierung kann das Risiko eines unbefugten Zugriffs auf Kennwörter erhöhen. Deshalb werden Sie bei der Auswahl von Aktivieren aufgefordert, eine Kompatibilitätsprüfung für alle Domänencontroller in der Gesamtstruktur auszuführen. Damit soll sichergestellt werden, das die Domänencontroller über die mindestens erforderlichen Sicherheitsfunktionen für den Schutz der Benutzerkennwörter verfügen.

Wenn Sie Kennwörter auch mit UNIX-Computern synchronisieren müssen, die nicht Teil der NIS-Domäne sind, installieren Sie die Kennwortsynchronisierung auf den Windows-basierten Domänencontrollern von Active Directory-Domänendienste und konfigurieren Sie die UNIX-Computer so, wie weiter oben in diesem Thema beschrieben.

Sie können die Synchronisierung von UNIX zu Windows für beide Typen von NIS-Domänen bereitstellen. Gehen Sie dazu wie folgt vor.

  • Wenn auf dem NIS-Masterserver ein UNIX-basiertes Betriebssystem ausgeführt wird, konfigurieren Sie den Server für die unidirektionale Synchronisierung wie weiter oben in diesem Thema beschrieben.

  • Installieren Sie die Kennwortsynchronisierung auf allen Domänencontrollern. Wenn auf dem NIS-Masterserver ein UNIX-basiertes Betriebssystem ausgeführt wird, konfigurieren Sie die Kennwortsynchronisierung auf Windows-basierten Servern für die bidirektionale Synchronisierung mit dem Masterserver. Fügen Sie schließlich jeden NIS-Client der Liste von Computern hinzu, mit denen die Kennwortsynchronisierung erfolgt. Achten Sie dabei darauf, dass Sie die Synchronisierung von UNIX zu Windows aktivieren und von Windows zu UNIX deaktivieren. Die Synchronisierung von Windows zu UNIX sollte nur für den NIS-Masterserver aktiviert werden. Weitere Informationen zum Hinzufügen und Konfigurieren von Computern finden Sie unter Hinzufügen oder Entfernen von Computern für die Synchronisierung und Festlegen von computerspezifischen Eigenschaften für die Synchronisierung.

  • Installieren Sie das Modul zur austauschbaren Authentifizierung (Pluggable Authentication Module, PAM) für die Kennwortsynchronisierung auf jedem NIS-Client, und kopieren Sie dann die Datei sso.conf vom Masterserver in das Verzeichnis /etc dieser Clients. Weitere Informationen finden Sie unter Installieren des Moduls zur austauschbaren Authentifizierung (Pluggable Authentication Module, PAM) für die Kennwortsynchronisierung.

  • Wenn der NIS-Masterserver ein Windows-basierter Computer ist, auf dem Server für NIS ausgeführt wird, kopieren Sie Sso.cfg auf einen der NIS-Clients. Legen Sie für SYNC_HOSTS den Computer fest, auf dem Server für NIS ausgeführt wird. Dabei handelt es sich um den Windows-basierten Computer, mit dem Kennwörter synchronisiert werden. Kopieren Sie dann diese Datei auf die anderen UNIX-Clients. Weitere Informationen zu den Einstellungen in dieser Datei finden Sie unter Verwenden von "sso.conf" zum Konfigurieren der Kennwortsynchronisierung auf UNIX-basierten Computern.

  • Konfigurieren Sie die einzelnen UNIX-Computer so, dass Benutzer mit dem Befehl yppasswd ihre Kennwörter ändern können. Ersetzen Sie dazu die Binärdatei yppasswd auf dem UNIX-Computer durch eine Verknüpfung zur Binärdatei passwd, und bearbeiten Sie dann die Datei /etc/nsswitch.conf, indem Sie die Zeilen passwd und shadow wie folgt ersetzen:

    passwd:  files [NOTFOUND=continue] nis
    shadow:  files [NOTFOUND=continue] nis
    Wenn danach ein Benutzer zum Ändern seines Benutzerkennworts den Befehl yppasswd eingibt, wird tatsächlich die Binärdatei passwd zum Ändern des Kennworts ausgeführt. Wird der Eintrag passwd für den Benutzer in den lokalen Kennwort- (passwd) und Schattendateien (shadow) nicht gefunden, wird stattdessen das NIS-Kennwort geändert.