我想知道是否有可能导致广告以任何方式服务身份validation请求,除了简单地咨询其内部密码哈希。 理想情况下,我想要它调用我提供的代码,通过用户名/密码,并对DC收到的每个authentication请求作出授权/未授权的决定。 我还想解决一个安排,即AD的内部机制仍然处理身份validation,但是只有当我的自定义代码清除它们时,帐户才被授权login到Windows系统。
我们的大多数系统都是Linux操作系统,并通过OpenLDAP目录进行身份validation…这是为了在OpenLDAP中为每个帐户创build一个单一属性,以确定是否可以访问组织,Windows或Linux中的所有系统。
基于联邦的方法将会取得更大的成功。 据我所知,在运行Active Directory的Windows部分内部没有任何扩展点来执行你正在寻找的内容。 (在操作系统中有一些点,作为AD的客户端,你可以扩展操作系统来做你正在寻找的东西。)
基于Kerberos的身份validation,从您的AD到Kerberos领域的信任可以是一个合理的解决scheme。 或者,您可以查看OpenLDAP并将AD架构扩展为支持您使用OpenLDAP的所有内容。