我有很多箱子都是本地用户帐户。 我们希望开始将它们整合到Active Directory系统中。 (我知道…我知道..它必须是活动目录,而不是openldap,kerberos或类似的东西)我正在寻找一种方式来移动帐户,但最重要的是移动已经encryption的密码。
是否有任何types的PAM库或其他types的脚本可以用来从一个设置移动到另一个?
我看到的问题是本地unix密码是腌过的哈希值。 我不认为ActiveDirectory的,并且没有办法从一个盐味散列到明文密码。 要做到这一点,你将不得不在用户input密码时进行嗅探,并根据哈希validation密码。 你可以做到这一点(这可能是也可能不是很容易),但原则上是错误的。
你为什么不愿意更改密码? 我会首先进行调查,因为在我看来,无论背后的原因是什么,这可能是一个安全问题。
这对我来说似乎也是不可能的。 这就是为什么为了将来的参考,人们花了很多精力在Linux机器上进行Kerberos身份validation,或者在与Samba / Winbind的Windows域兼容性方面做了充分的工作。 它将这个问题扼杀在萌芽状态。
因此,如果您的用户已经拥有并行域帐户,并且他们没有在Linux机器上使用,那么更简单的情况恰恰相反:获得AD下的Kerberos身份validation以在Linux机器上工作,并将PAM更改为优先使用AD /在本地authentication子系统之前进行限制。 不知道这是否有道理,但如果对你有可能的话,你有希望。 这听起来不错。