清单:部署密码同步

应用到: Windows Server 2008 R2

“密码同步”通过简化在 Windows 和 UNIX 环境中保证密码安全的过程,帮助将 Windows 网络和 UNIX 网络集成在一起。通过“密码同步”,在网络中基于 UNIX 的计算机上安装实用程序,用于检测基于 Windows 的计算机或域上的密码更改,然后自动在用户拥有帐户的每台 UNIX 主机上更新密码。也可以将“密码同步”配置为在用户的 UNIX 密码更改时更改用户的 Windows 密码。

注意

可以在下列三种方案的任意一种方案中安装“密码同步”。

只能在 Active Directory 域服务 域控制器上安装“密码同步”。

设置“密码同步”,以便用于 NIS 域(“NIS 服务器”主服务器)

 

  步骤 参考
复选框

了解有关“密码同步”的信息。

密码同步概述

复选框

以架构管理员和企业管理员两个组的成员的身份登录。

 

复选框

在所有域控制器上安装“密码同步”。

安装 UNIX 标识管理组件

复选框

设置密码加密密钥。

设置密码加密密钥

复选框

根据需要更改其他设置。确保在“密码同步属性”对话框的“常规”选项卡上,选中“密码同步方向”区域中的“UNIX 到 Windows”复选框。

设置默认同步设置计算机特定的同步属性

复选框

如果将与其同步密码的基于 UNIX 的计算机不是网络信息服务 (NIS) 域的成员,则添加这些计算机。对于每台计算机,在列表中选择该计算机,单击“属性”,清除“向此计算机同步密码更改”复选框,选中“从此计算机同步密码更改”复选框,然后单击“确定”。如果希望使用非默认值,还可以指定端口号、加密密钥或两者的值。

添加或删除参与同步的计算机

设置“密码同步”,以便用于 NIS 域(基于 UNIX 的主服务器)

 

  步骤 参考
复选框

了解有关“密码同步”的信息。

密码同步概述

复选框

以架构管理员和企业管理员两个组的成员的身份登录。

 

复选框

在相应的基于 Windows 的计算机上安装“密码同步”。如果要同步服务器上本地帐户的密码,则在该服务器上安装“密码同步”。如果要同步 Windows 域密码,则在所有域控制器上安装“密码同步”。

安装 UNIX 标识管理组件

复选框

设置密码加密密钥。

设置密码加密密钥

复选框

根据需要更改其他设置。确保在“密码同步属性”对话框的“常规”选项卡上,选中“密码同步方向”区域中的“UNIX 到 Windows”复选框。

设置默认同步设置计算机特定的同步属性

复选框

将网络信息服务 (NIS) 主服务器添加到基于 Windows 的计算机要与其同步密码的计算机的列表。

添加或删除参与同步的计算机

复选框

如果将与其同步密码的基于 UNIX 的计算机不是网络信息服务 (NIS) 域的成员,则添加这些计算机。对于每台计算机,在“添加计算机”对话框的“常规”选项卡上,清除“向此计算机同步密码更改”复选框,选中“从此计算机同步密码更改”复选框,然后单击“确定”。如果希望使用非默认值,还可以指定端口号、加密密钥或两者的值。

添加或删除参与同步的计算机

复选框

指定有权同步密码的用户。

控制用户帐户的密码同步

复选框

确保域中所有域控制器上的“密码同步”配置相同。

 

配置基于 UNIX 的计算机,以便使用“密码同步”

 

  步骤 参考
复选框

在 NIS 主服务器上安装并配置“密码同步”单一登录守护程序 (SSOD)。确保更改 sso.conf 文件中的默认加密密钥,使其与在前面的步骤中设置的“密码同步”加密密钥匹配,然后再将其复制到服务器,并编辑 sso.conf,以指定下列设置:

  • USE_NIS=1

  • NIS_UPDATE_PATH=Makefile_path,其中 Makefile_path 是 NIS 生成文件的路径和名称,如 /var/yp/Makefile

在基于 UNIX 的计算机上安装密码同步守护程序

复选框

将 NIS 主服务器中的 sso.conf 文件复制到每台安装了“密码同步”PAM 模块的计算机的 /etc 目录。

 

复选框

在每个安装了“密码同步”可插入身份验证模块 (PAM) 的 NIS 客户端上,将 yppasswd 二进制文件替换为指向 passwd 二进制文件的链接,然后编辑 /etc/nsswitch.conf 文件,以更改文件的 passwdshadow 行,如下所示:

passwd:  files [NOTFOUND=continue] nis
shadow:  files [NOTFOUND=continue] nis

安装 UNIX 标识管理组件

复选框

在 NIS 主服务器上启动“密码同步”守护程序。

启动或停止 UNIX 标识管理组件

设置“密码同步”,以便用于基于 UNIX 的独立主机

 

  步骤 参考
复选框

了解有关“密码同步”的信息。

密码同步概述

复选框

以架构管理员和企业管理员两个组的成员的身份登录。

 

复选框

在所有基于 Windows 的域控制器上安装“密码同步”。如果要同步服务器上本地帐户的密码,则在该服务器上安装“密码同步”。如果要同步 Windows 域密码,则在所有域控制器上安装“密码同步”。

安装 UNIX 标识管理组件

复选框

设置密码加密密钥。

设置密码加密密钥

复选框

根据需要更改其他设置。

设置默认同步设置计算机特定的同步属性

复选框

如果将与其同步密码的基于 UNIX 的计算机不是网络信息服务 (NIS) 域的成员,则添加这些计算机。对于每台计算机,在“添加计算机”对话框的“常规”选项卡上,清除“向此计算机同步密码更改”复选框,选中“从此计算机同步密码更改”复选框,然后单击“确定”。如果希望使用非默认值,还可以指定端口号、加密密钥或两者的值。

添加或删除参与同步的计算机

复选框

确保域中所有域控制器上的“密码同步”配置相同。

 

配置基于 UNIX 的独立主机,以便使用“密码同步”

 

  步骤 参考
复选框

在所有要与其同步密码的基于 UNIX 的计算机上安装并配置“密码同步”单一登录守护程序 (SSOD)。确保更改 sso.conf 文件中的默认加密密钥,使其与在前面的步骤中设置的“密码同步”加密密钥匹配,然后再将其复制到基于 UNIX 的计算机。

在基于 UNIX 的计算机上安装密码同步守护程序

复选框

指定有权同步密码的用户。

控制用户帐户的密码同步

复选框

启动“密码同步”守护程序。

启动或停止 UNIX 标识管理组件

复选框

在所有要将其密码更改与 Windows 密码同步的基于 UNIX 的计算机上安装并配置“密码同步”PAM。

安装密码同步可插入身份验证模块

其他参考

有关“密码同步”的详细信息,请参阅:

社区附加资源

添加
显示: