我已经部署了一个 FreeIPA 身份解决方案,该解决方案由 389 目录服务器支持。
由于需要定期将用户密码同步到另一个平台(Google Apps for Work),我需要用户帐户存储方案为 SHA1 而不是 SSHA(加盐 SHA)。
我可以轻松地将 passwordStorageScheme 切换为 SHA,但我不知道 IPA 是否依赖于密码为 SSHA,而且我会破坏某些东西,所以:
- 我是否可以“愉快地”从 SSHA 切换到 SHA passwordStorageScheme 而不会破坏任何东西?
- 除此之外,我是否可以配置 389 以在每次密码更改时在自定义属性(比如说“userPasswordSHA”)中保存额外的哈希值,以便我可以轻松处理两者?