我阅读了一些有关 AD 中的 userPassword 属性的主题以及如何将其设置为 unicodePwd 的写别名的内容。
我们正在考虑从 OpenLDAP 迁移到 AD。我可以从 OpenLDAP 中提取 userPassword 作为加盐哈希字符串 {ssha}blabla... 我的问题是,我可以在激活 write-alias 的情况下在 AD 的 userPassword 属性中“按原样”设置此密码,然后让其自动更新 unicodePwd 属性吗?或者 userPassword 字段是否需要明文密码?
基本上,有什么方法可以将用户密码从 OpenLDAP 转移到 AD?
答案1
我不相信这可以做到,因为哈希是不可逆的并且是加盐的。
通常,即使在 AD 域之间,执行此操作的工具也会在域控制器级别拦截密码更改请求并同时在两个域上执行更改,而不是通过同步实际 LDAP 属性数据来完成。
我建议研究替代方案,例如人们可以通过旧 LDAP 进行身份验证的 Web 界面,获取密码并将其设置在 AD 中,或者类似的东西。
答案2
您不能将哈希从 OpenLDAP 注入到 AD 并期望它能起作用。