我已经读了一些AD的userPassword属性的主题,以及如何将它设置为unicodePwd的写入别名。
我们正在考虑从OpenLDAP转移到AD。 我可以从OpenLDAP中提取用户密码作为盐渍散列string{ssha} blabla …我的问题是,我可以然后在AD的userPassword属性中设置密码“原样”与写别名激活,然后更新unicodePwd属性自动? 还是userPassword字段期望密码清晰?
基本上有什么办法,我可以将用户密码从OpenLDAP转移到AD?
我不相信这是可以做到的,因为哈希是不可逆的,而且是腌制的。
通常,即使在AD域之间,这样做的工具也会在域控制器级别拦截密码更改请求,并同时在两个域上执行更改,但这不是通过实际LDAP属性数据的同步来完成的。
我build议调查替代scheme,例如Web界面,人们可以对旧的LDAP进行身份validation,以获取密码并将其设置在AD或类似的地方。
你不能从OpenLDAP注入到AD,并期望它工作。