Ldap

打開目錄密碼位置和加密方法

  • January 2, 2014

背景:我想使用 Google Apps Directory Sync (GADS) 從執行 Open Directory 的 Mac OS X Server (10.9) 同步使用者帳戶和密碼。GADS 安裝在 Ubuntu 12.04 LTS 虛擬機上,並成功配置為將使用者帳戶從 Mac OS X 伺服器同步到 Google Apps。但是,我意識到似乎無法從 Open Directory 同步使用者密碼。

對於密碼同步,GADS 需要以下內容:密碼屬性、密碼時間戳屬性和密碼加密方法。支持的加密方法有:SHA1、MD5、Base64、明文。

我正在使用 JXplorer 檢查 Open Directory LDAP 模式,並註意到對 authAuthority(身份驗證機構)的引用。有兩個標記為 authAuthority 的 LDAP 屬性 - 一個包含 Kerberosv5 的值,另一個包含 ApplePasswordServer 的值。

根據我對 Open Directory Administrators Guide 的理解:與其他一些 LDAP 目錄不同,OS X 不會在 LDAP 記錄中儲存密碼——它使用“SASL”機制——它查詢“AuthenticationAuthority”屬性以確定存放的位置可以找回使用者密碼。

誰能證實我的評估?此外,如果是這種情況,您能否確認這會阻止我根據其要求使用 GADS?還有一個具有值的“userPassword”屬性:(非字元串數據)。這可能是什麼?

我不確定這如何與較新的 OS X 伺服器變體一起使用,但至少在 10.6 之前這是正確的。他們使用了一個特殊的密碼伺服器,該伺服器有一個加密的各種雜湊格式的密碼數據庫,所有類型的服務都可以查詢這些密碼(其中一些是專門修改的,例如 Apples Samba 伺服器),但無法獲取密碼擺脫它,例如遷移到“標準”OpenLDAP 伺服器。

據我所知,他們只是在以後的版本中大大降低了 OS X 伺服器的性能,但基本結構保持不變。

不過,我不能說這可能與 GADS 有關。

引用自:https://serverfault.com/questions/556150