背景:我想使用 Google Apps Directory Sync (GADS) 从运行 Open Directory 的 Mac OS X Server (10.9) 同步用户帐户和密码。GADS 安装在 Ubuntu 12.04 LTS 虚拟机上,并已成功配置,可将用户帐户从 Mac OS X Server 同步到 Google Apps。但是,我意识到似乎无法从 Open Directory 同步用户密码。
对于密码同步,GADS 需要以下内容:密码属性、密码时间戳属性和密码加密方法。支持的加密方法包括:SHA1、MD5、Base64、纯文本。
我正在使用 JXplorer 检查 Open Directory LDAP 模式,并注意到对 authAuthority(身份验证机构)的引用。有两个标记为 authAuthority 的 LDAP 属性 - 一个包含 Kerberosv5 的值,另一个包含 ApplePasswordServer 的值。
根据我对《Open Directory 管理员指南》的理解:与其他某些 LDAP 目录不同,OS X 不会在 LDAP 记录中存储密码 - 它使用“SASL”机制 - 它查询“AuthenticationAuthority”属性来确定可以检索用户密码的位置。
有人能证实我的评估吗?此外,如果是这样,您能否确认这是否会根据其要求阻止我使用 GADS?还有一个“userPassword”属性,其值为:(非字符串数据)。这可能是什么?
答案1
我不确定这在较新的 OS X 服务器版本中是如何工作的,但至少在 10.6 之前这是正确的。他们使用一个特殊的密码服务器,该服务器有一个加密的密码数据库,采用各种哈希格式,可供所有类型的服务查询(其中一些服务经过专门修改以执行此操作,例如 Apples Samba 服务器),但无法从中获取密码,例如迁移到“标准”OpenLDAP 服务器。
据我所知,他们在后来的版本中大大简化了 OS X 服务器,但是基本结构保持不变。
但我无法说出任何与 GADS 相关的事情。
答案2
Randy Saeks 记录了他如何在 Google Apps for Education 部署中使用 Open Directory 登录名和密码。他的集成指南以 PDF 格式提供,可从此处获取: