| In een wachtwoordbestand (zoals `/etc/passwd` of `/etc/shadow`, hoewel dit veel gebruikelijker is in het `/etc/shadow` bestand), betekent een plusteken (+) aan het begin van een regel een NIS (Network Information Service) of LDAP (Lightweight Directory Access Protocol) binnenkomst.
Hier is een overzicht:
* NIS/LDAP: Dit zijn directoryservices waarmee u gebruikersaccounts en wachtwoorden centraal kunt beheren via een netwerk van machines. In plaats van lokale accounts op elke machine te hebben, wordt gebruikersinformatie opgeslagen in een centrale database (NIS-masterserver of LDAP-server).
* `+` Symbool: Het `+` symbool in het wachtwoordbestand vertelt het systeem dat het de NIS/LDAP-server moet raadplegen voor informatie over die gebruiker. Het is in wezen een tijdelijke aanduiding of een richtlijn om informatie uit de netwerkdirectoryservice samen te voegen.
Hoe het werkt (vereenvoudigd):
1. Wanneer een gebruiker probeert in te loggen, controleert het systeem eerst de lokale wachtwoordbestanden (`/etc/passwd`, `/etc/shadow`).
2. Als het een regel tegenkomt die begint met `+`, weet het dat het NIS/LDAP moet raadplegen.
3. Het systeem vraagt de geconfigureerde NIS/LDAP-server om de gebruikersinformatie (gebruikersnaam, UID, GID, homedirectory, shell, wachtwoordhash).
4. Het systeem authenticeert de gebruiker aan de hand van de wachtwoord-hash die is opgehaald uit NIS/LDAP.
5. Als de authenticatie succesvol is, mag de gebruiker inloggen.
Voorbeeld:
Een regel als `+user1::::::` in `/etc/shadow` zou betekenen dat het wachtwoord en andere beveiligingsgerelateerde informatie van de gebruiker `user1` wordt beheerd door NIS/LDAP. Het systeem haalt het gecodeerde wachtwoord op van de NIS/LDAP-server in plaats van te vertrouwen op een lokaal opgeslagen hash.
Belangrijke overwegingen:
* Beveiliging: Gecentraliseerde authenticatie kan veiliger zijn in termen van wachtwoordbeheer, omdat beleid over het hele netwerk kan worden afgedwongen. Het creëert echter ook een single point of fail. Als de NIS/LDAP-server wordt gecompromitteerd, loopt de veiligheid van het hele netwerk gevaar.
* Alternatieven: Terwijl NIS in het verleden gebruikelijk was, zijn LDAP en Kerberos nu de meest voorkomende oplossingen voor gecentraliseerde authenticatie. System Security Services Daemon (SSSD) wordt vaak gebruikt als tussenpersoon om verbinding te maken met verschillende identiteitsproviders, waaronder LDAP, Kerberos en zelfs lokale bestanden.
* Configuratie: Normaal gesproken configureert u NIS/LDAP (of SSSD) met behulp van tools die specifiek zijn voor uw besturingssysteem. Het bestand `/etc/nsswitch.conf` speelt een cruciale rol bij het specificeren van de volgorde waarin het systeem moet zoeken naar gebruikers- en groepsinformatie (bijvoorbeeld bestanden, nis, ldap).
Samenvattend geeft de '+' in een wachtwoordbestandsregel aan dat de gebruikersaccountinformatie wordt beheerd via een netwerkdirectoryservice zoals NIS of LDAP, in plaats van lokaal te worden opgeslagen. Dit maakt gecentraliseerd gebruikersbeheer over een netwerk van machines mogelijk. |
