我正在将 Zentyal 盒配置为网关。对于代理身份验证,我尝试根据 Zentyal 的文档通过 LDAP 将 Zentyal 与 AD 同步http://doc.zentyal.org/en/directory.html#configuring-zentyal-as-a-slave-of-windows-active-directory
问题是 Zentyal 只能在新用户或密码更改时同步用户。
有人知道我如何通过读取用户密码进行大规模(假)密码更改,然后使用相同的字符串重置密码吗?或者有没有办法获取所有用户密码,然后手动重置密码?
有人对此有其他解决方案吗?
谢谢
答案1
我写了一段关于更改pwdLastSet属性的文字,以欺骗 AD 认为密码最近被更改了。
但这不是你所需要的。应用程序似乎需要的是,在域控制器上安装了密码过滤器后更改密码,该过滤器会将密码的副本发送给应用程序。
所以 - 您所寻找的是不可能的。用于存储 AD 密码的加密转换是不可逆的;一旦存储就无法检索。有工具可以攻击这些存储的哈希,但它们无法可靠地检索所有用户的密码(除非他们都使用弱密码)。另一个选择是使用“可逆加密”模式,除非它已经启用,否则它不会给你带来任何好处。
最好的办法是安装密码过滤器,以便更新应用程序,然后修改组策略密码设置,使所有用户的密码在未来一两周内过期。