我想知道除了简单地查阅其内部密码哈希之外,是否还有可能以任何方式使 AD 为身份验证请求提供服务。理想情况下,我希望它调用我提供的代码,该代码传递用户名/密码,并对 DC 收到的每个身份验证请求做出授权/未授权的决定。我还会接受这样一种安排,即身份验证仍然由 AD 的内部机制处理,但只有我的自定义代码清除帐户后,帐户才被授权登录 Windows 系统。
我们的大多数系统都是 Linux,并针对 OpenLDAP 目录进行身份验证...这是尝试使 OpenLDAP 中每个帐户的单个属性对于访问我们组织中的所有系统(Windows 或 Linux)具有决定性作用。
答案1
使用基于联合的方法,您将获得更好的成功。据我所知,在运行 Active Directory 的 Windows 部分中没有扩展点可以执行您要查找的操作。(在操作系统中有一些点,作为 AD 的客户端,您可以扩展操作系统来执行您要查找的操作。)
基于 Kerberos 的身份验证,后端到您的 OpenLDAP,从您的 AD 到您的 Kerberos Realm 的信任可能是一个合理的解决方案。或者,您可以考虑放弃 OpenLDAP 并扩展 AD 架构以支持您使用 OpenLDAP 的所有内容。