我有很多盒子,里面全是本地用户帐户。我们想开始将它们整合到 Active Directory 系统中。(我知道……我知道……必须是 Active Directory,而不是 openldap、kerberos 或类似的东西)我正在寻找某种方法,不仅可以移动帐户,而且最重要的是移动已经加密的密码。
是否有任何类型的 PAM 库或其他类型的脚本可用于从一个设置移动到另一个设置?
答案1
我发现的问题是本地 unix 密码是加盐哈希。我不认为 ActiveDirectory 是加盐哈希,而且没有办法从加盐哈希转换为纯文本密码。要做到这一点,您必须在用户输入密码时嗅探密码并根据哈希验证密码。您可以做到这一点(这可能很容易,也可能不容易),但原则上这是错误的。
为什么你这么不愿意更改密码?我会首先调查一下这个问题,因为在我看来,无论这种不情愿背后的原因是什么,这很可能是一个安全问题。
答案2
在我看来,这似乎也不可能。这就是为什么,为了将来参考,人们在 Linux 机器上投入大量精力进行 Kerberos 身份验证,或完全使用 Samba/Winbind 实现 Windows 域兼容性。它从一开始就解决了这个问题。
因此,如果您的用户已经拥有在 Linux 机器上不使用的并行域帐户,那么更简单的方法是反向操作:让 AD 底层的 Kerberos 身份验证在 Linux 机器上运行,并更改 PAM 以在本地身份验证子系统之前优先使用 AD/Kerb 进行身份验证。不确定这是否有意义,但如果这对您来说是可能的,您就有希望。这并不像听起来那么糟糕。