Dans un fichier de mots de passe (comme `/etc/passwd` ou `/etc/shadow`, bien que ce soit beaucoup plus courant dans le fichier `/etc/shadow`), un signe plus (+) au début d'une ligne signifie un NIS (Network Information Service) ou LDAP (Lightweight Directory Access Protocol) entrée.

Voici une répartition :

* NIS/LDAP : Il s'agit de services d'annuaire qui vous permettent de gérer de manière centralisée les comptes d'utilisateurs et les mots de passe sur un réseau de machines. Au lieu d'avoir des comptes locaux sur chaque machine, les informations utilisateur sont stockées dans une base de données centrale (serveur maître NIS ou serveur LDAP).

* Symbole `+` : Le symbole « + » dans le fichier de mots de passe indique au système de consulter le serveur NIS/LDAP pour obtenir des informations sur cet utilisateur. Il s'agit essentiellement d'un espace réservé ou d'une directive pour fusionner les informations du service d'annuaire réseau.

Comment ça marche (simplifié) :

1. Lorsqu'un utilisateur tente de se connecter, le système vérifie d'abord les fichiers de mots de passe locaux (`/etc/passwd`, `/etc/shadow`).

2. S'il rencontre une ligne commençant par `+`, il sait consulter NIS/LDAP.

3. Le système interroge le serveur NIS/LDAP configuré pour obtenir les informations de l'utilisateur (nom d'utilisateur, UID, GID, répertoire personnel, shell, hachage du mot de passe).

4. Le système authentifie l'utilisateur grâce au hachage du mot de passe récupéré de NIS/LDAP.

5. Si l'authentification réussit, l'utilisateur est autorisé à se connecter.

Exemple :

Une ligne comme `+user1::::::` dans `/etc/shadow` signifierait que le mot de passe de l'utilisateur `user1` et d'autres informations liées à la sécurité sont gérés par NIS/LDAP. Le système récupérera le mot de passe chiffré du serveur NIS/LDAP au lieu de s'appuyer sur un hachage stocké localement.

Considérations importantes :

* Sécurité : L'authentification centralisée peut être plus sécurisée en termes de gestion des mots de passe, car les politiques peuvent être appliquées sur l'ensemble du réseau. Cependant, cela crée également un point de défaillance unique. Si le serveur NIS/LDAP est compromis, la sécurité de l'ensemble du réseau est menacée.

* Alternatives : Alors que NIS était courant dans le passé, LDAP et Kerberos sont désormais les solutions les plus répandues pour l'authentification centralisée. Le démon des services de sécurité système (SSSD) est souvent utilisé comme intermédiaire pour se connecter à divers fournisseurs d'identité, notamment LDAP, Kerberos et même des fichiers locaux.

* Configuration : Vous configurerez généralement NIS/LDAP (ou SSSD) à l'aide d'outils spécifiques à votre système d'exploitation. Le fichier `/etc/nsswitch.conf` joue un rôle crucial en spécifiant l'ordre dans lequel le système doit rechercher les informations sur les utilisateurs et les groupes (par exemple, fichiers, nis, ldap).

En résumé, le « + » dans une ligne de fichier de mot de passe indique que les informations du compte utilisateur sont gérées via un service d'annuaire réseau comme NIS ou LDAP, plutôt que d'être stockées localement. Cela permet une gestion centralisée des utilisateurs sur un réseau de machines.

Article précédent： Quel mot de passe est automatiquement crypté lors de sa création ?
Article suivant： Comment pouvez-vous facilement effacer le CMOS, y compris en effaçant le mot de passe ?