COMMENT FAIRE : Installer la synchronisation du mot de passe sur un hôte UNIX pour une migration d'UNIX vers Windows

Traductions disponibles Traductions disponibles
Numéro d'article: 324542 - Voir les produits auxquels s'applique cet article
Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).
Agrandir tout | Réduire tout

Sommaire

Résumé

La synchronisation du mot de passe fournit une synchronisation du mot de passe à sens unique (de Windows vers UNIX) et bidirectionnelle entre des domaines Windows et des domaines NIS (Network Information Service). Le serveur maître du domaine NIS peut s'exécuter sur UNIX ou sur Windows (Server for NIS).

Windows Services for UNIX fournit des binaires précompilés pour prendre en charge la synchronisation du mot de passe sur les hôtes UNIX et Linux pris en charge. La liste suivante décrit les hôtes pris en charge pour Windows Services for UNIX 3.0 :
  • HP-UX 11
  • Sun Solaris (sparc) 7.0, 8
  • IBM AIX 4.3.3
  • Red Hat Linux 7.0

Installation du démon SSOD de synchronisation du mot de passe sur un hôte UNIX

Le démon SSOD (Single Sign On Daemon) de synchronisation du mot de passe est utilisé pour prendre en charge la synchronisation du mot de passe de Windows vers UNIX. Pour installer le démon SSOD de synchronisation du mot de passe, copiez le binaire précompilé correspondant à l'hôte UNIX ou Linux sur le serveur UNIX ou Linux, copiez le fichier de configuration d'exemple, puis modifiez-le de façon appropriée.

Pour installer le démon SSOD de synchronisation du mot de passe sur un hôte UNIX ou Linux, procédez comme suit :
  1. Copiez le fichier binaire SSOD approprié du CD Windows Services for UNIX 3.0 sur votre hôte UNIX ou Linux. Vous devez utiliser une méthode de copie de fichiers binaires, telle que le protocole de transfert de fichiers (FTP, File Transfer Protocole) en mode binaire, pour vous assurer de ne pas endommager le fichier. Vous pouvez aussi peut-être monter le CD directement sur votre hôte UNIX ou Linux.

    Les fichiers sources se trouvent dans le dossier unix\bins du CD Windows Services for UNIX 3.0. Microsoft recommande d'utiliser soit usr/local/bin, soit usr/bin comme emplacement de destination. La liste suivante décrit les noms de fichiers corrects pour chaque type d'hôte :
    • HP-UX 11 : Ssod.h11
    • Solaris 7 : Ssod.so7
    • IBM AIX 4.3.3 : Ssod.a42
    • Red Hat Linux 7 : S ssod.l52
  2. Ouvrez une session sur l'hôte UNIX en tant que root.
  3. Renommez le fichier Ssod.
  4. Utilisez une méthode de copie de fichiers binaires telle que FTP pour copier le fichier unix\bins\Sso.cfg du CD Windows Services for UNIX 3.0 vers etc/sso.conf.
  5. Utilisez un éditeur de texte UNIX pour modifier etc/sso.conf afin d'utiliser la clé de cryptage, le numéro de port et d'autres paramètres appropriés, comme indiqué ci-dessous. Modifiez la ligne ENCRYPT_KEY pour spécifier la clé par défaut. Cette valeur doit correspondre à la clé par défaut spécifiée sur tous les contrôleurs de domaine avec lesquels cet ordinateur synchronisera des mots de passe :

        ENCRYPT_KEY=clé_de_cryptage

    Modifiez la ligne PORT_NUMBER pour spécifier le port. Cette valeur doit correspondre au numéro de port par défaut spécifié sur tous les contrôleurs de domaine avec lesquels cet ordinateur synchronisera des mots de passe :

        PORT_NUMBER=numéro_de_port

    Modifiez la ligne SYNC_HOSTS pour spécifier le contrôleur de domaine dans chaque domaine Windows avec lequel l'ordinateur doit synchroniser des mots de passe. Si vous utilisez un numéro de port ou une clé de cryptage non défini par défaut, spécifiez cette valeur à l'emplacement indiqué ; sinon, laissez la valeur vide :

        SYNC_HOSTS=(contrôleur_de_domaine[, numéro_de_port [, clé_de_cryptage]]) ...

    Chaque entrée dans la liste doit être mise entre parenthèses (caractères "(" et ")") et séparée de l'entrée suivante par un espace.

    Si l'ordinateur est un serveur maître NIS ou NIS+ et que vous souhaitez que les mots de passe soient synchronisés dans tout le domaine NIS, modifiez la ligne USE_NIS comme indiqué pour activer la synchronisation NIS :

        USE_NIS=1

    Aussi, si besoin est, modifiez la ligne NIS_UPDATE_PATH pour spécifier l'emplacement du fichier Make NIS :

        NIS_UPDATE_PATH=emplacement_du_fichier_Make
  6. Démarrez le démon SSOD.

    Si vous souhaitez que ce démon démarre automatiquement lorsque vous démarrez l'ordinateur, ajoutez le démon au fichier approprié pour votre version d'UNIX ou de Linux (par exemple, etc/rc.local).

    REMARQUE : le fichier etc/sso.conf contient des informations sensibles, notamment des clés de cryptage. Définissez les autorisations convenablement de sorte que seuls les administrateurs aient accès à ce fichier.

Installation du module PAM sur un hôte UNIX

Le module PAM (Pluggable Authentication Module) est utilisé pour prendre en charge la synchronisation du mot de passe d'UNIX vers Windows. Le module PAM est pris en charge sur HP-UX 11, Solaris 7 et Red Hat Linux 6.2 et 7.


Installation du module PAM sur HP-UX 11

  1. Copiez le fichier unix\bins\pam_sso.h11 qui se trouve sur le CD Windows Services for UNIX dans usr/lib/security sur l'hôte HP-UX 11.
  2. Ouvrez une session sur l'hôte UNIX en tant que racine.
  3. Renommez le fichier usr/lib/security/pam_sso.h11 en pam_sso.hp.1.
  4. Remplacez les autorisations de fichiers par 544, puis le propriétaire par Root.

    À partir de l'invite UNIX, tapez la commande suivante :
    chown root:sys pam_sso.hp.1
    chmod 544 pam_sso.hp.1
  5. Utilisez un éditeur de texte UNIX pour ouvrir le fichier etc/pam.conf, puis ajoutez la ligne suivante après la ligne "Password management" :
    other password required /usr/lib/security/pam_sso.hp.1
  6. Enregistrez le fichier, puis fermez-le.

Installation du module PAM sur Red Hat Linux 7

  1. Copiez le fichier unix\bins\pam_sso.l52 du CD Windows Services for UNIX dans Usr/Lib/Security sur l'hôte Linux.
  2. Ouvrez une session sur l'hôte Linux en tant que racine.
  3. Renommez le fichier usr/lib/security/pam_sso.l52 en pam_sso.so.1.
  4. Utilisez un éditeur de texte UNIX pour ouvrir le fichier etc/pam.d/system-auth, puis recherchez la ligne suivante :
    password required /lib/security/pam_cracklib.so retry=3
  5. Après la ligne que vous avez identifiée à l'étape 4, ajoutez la ligne suivante :
    password required /usr/lib/security/pam_sso.so.1
  6. Recherchez et supprimez la ligne suivante :
    password required /usr/lib/security/pam_deny.so
  7. Enregistrez le fichier, puis fermez-le.

Installation du module PAM sur Solaris 7

  1. Copiez le fichier unix\bins\pam_sso.so7 du CD Windows Services for UNIX dans usr/lib/security sur l'hôte Solaris 7.
  2. Ouvrez une session sur l'hôte UNIX en tant que racine.
  3. Renommez le fichier usr/lib/security/pam_sso.so7 en pam_sso.so.1.
  4. Remplacez les autorisations de fichiers par 544, puis le propriétaire par Root.
  5. Utilisez un éditeur de texte UNIX pour ouvrir le fichier etc/pam.conf, puis ajoutez la ligne suivante après la ligne "Password management" :
    other password required /usr/lib/security/pam_sso.so.1
  6. Enregistrez le fichier, puis fermez-le.

Dépannage

  • Étant donné que yppasswd sur Solaris ne prend pas en charge l'utilisation du module PAM, la synchronisation du mot de passe à partir d'un domaine NIS Solaris 7 utilisant yppasswd n'est pas prise en charge. Si yppasswd est utilisé, le mot de passe Windows n'est pas mis à jour.

    Vous pouvez toutefois contourner cette limitation en remplaçant le fichier yppasswd sur votre serveur Solaris par un lien vers le fichier binaire passwd, puis en modifiant /etc/nsswitch.conf pour remplacer les lignes passwd et shadow comme suit :

        passwd: files [NOTFOUND=continue] nis
        shadow: files [NOTFOUND=continue] nis
  • Quel que soit l'hôte UNIX ou Linux sur lequel vous installez le module PAM, la procédure décrite dans cet article suppose que la prise en charge du module PAM est déjà installée et correctement configurée sur l'ordinateur.
  • Si des problèmes surviennent, examinez attentivement les journaux d'événements Windows sur le contrôleur du domaine cible et les fichiers syslog sur l'hôte UNIX/Linux (/usr/adm/syslog).


Références

Les produits tiers mentionnés dans cet article sont fabriqués par des sociétés indépendantes de Microsoft. Microsoft exclut toute garantie, implicite ou autre, concernant les performances ou la fiabilité de ces produits.

Pour plus d'informations sur la façon d'effectuer des tâches de maintenance après une migration d'UNIX vers Windows, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
324539 Comment faire : Effectuer des tâches de maintenance et des tâches auxiliaires après une migration d'UNIX vers Windows










Propriétés

Numéro d'article: 324542 - Dernière mise à jour: vendredi 7 mai 2004 - Version: 2.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professionel
  • Microsoft Windows XP Professionnel
  • Microsoft Windows NT 4.0 Service Pack 6a
  • Microsoft Windows NT Workstation 4.0 Édition Développeur
  • Microsoft Windows Services for UNIX 3.0 Standard Edition
Mots-clés : 
kbhowtomaster kbdswsfu2003swept KB324542
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com