我们想要设置 FreeIPA 以与我们的传统用户管理系统配合使用,我们可以输出 ldif 文件并将其更改为 FreeIPA 兼容格式并导入它。除了散列密码外,一切都运行良好,我们的 ldif 文件包含预散列的密码,但当我使用帐户导入它时它不起作用。
导入的用户可以使用他们的 ssh 密钥连接到被授予权限的 linux 服务器,但他们不能使用密码,我甚至用 SHA512 手动更改了密码并进行了测试,但没有用。
管理员用户已被授予更改用户密码的权限,但在迁移过程中不会使密码过期(稍后将设置专用用户)。
有没有办法导入散列密码或将其从另一个 ldap 迁移到 FreeIPA?
或者,我可以使用 ldapmodify 编辑用户记录并添加散列密码吗?
答案1
如果您在条目中预先散列了密码,但没有这些帐户的 Kerberos 密钥,则应将 FreeIPA 切换到迁移模式。IPA 客户端上的 SSSD 随后会注意到这一点,并在首次登录时使用 LDAP 绑定而不是 Kerberos 执行用户身份验证。这将导致在服务器端重新生成密码哈希并为用户主体生成 Kerberos 密钥。