NIS и затенение паролей

Использование NIS вместе с теневыми файлами паролей несколько проблематично. Сначала плохие новости: использование NIS наносит поражение целям теневых паролей. Схема затенения паролей была разработана, чтобы предотвратить доступ не-root пользователей к зашифрованной форме паролей входа в систему. Использование NIS, чтобы совместно использовать данные shadow, делает шифрованные пароли доступными любому пользователю, который может слушать ответы NIS-сервера.

В libc5 нет никакого реального решения для совместного использования файлов shadow через NIS. Единственный способ распределять пароль и информацию пользователя по NIS сводится к обычным картам passwd.*. Если Вы используете теневые пароли, самый простой способ совместно использовать их состоит в том, чтобы генерировать соответствующий файл passwd из /etc/shadow с помощью утилит, подобных pwuncov, и создавать карты NIS из этого файла.

Поддержка NIS в GNU libc library (libc6) обеспечивает поддержку теневых баз данных паролей. Это упрощает управление паролями в средах, в которых Вы хотите использовать NIS с теневыми паролями. Чтобы использовать данное средство, Вы должны создать базу данных shadow.byname и добавить следующую строку к файлу /etc/nsswitch.conf:

# Shadow password support
shadow:         compat

Если Вы используете теневые пароли с NIS, нужно ограничить доступ к базе данных NIS. См. раздел "Защита сервера NIS" выше в этой главе.