通过openIDM同步而不使用插件？

Question

我正在设置一个OpenIDM服务器，它在由我的公司管理的OpenDJ存储和将由客户公司管理的存储之间同步数据。

目标是不需要在客户端的AD实例中安装任何东西。这在很大程度上是很好的，但是我不能让密码在两者之间同步。

我找到了用于密码同步的导游，但这需要一个Active插件(以及一个OpenDJ插件，但这不是问题)。

我们是否有可能在不需要这样一个插件的情况下，通过OpenDJ在OpenIDM存储中存储用户帐户的密码？

如果我们不能更改密码，只读取密码，但我们需要密码才能通过OpenAM登录，这是可以接受的。

Answer 1

在AD中直接更改的密码被散列，因此不能恢复为明文。要从AD获得明文密码(以便在其他地方提供)，唯一的方法是在散列之前涉及到其他系统。例如，在AD服务器上安装AD密码插件将拦截更改事件，并将明文密码发送到OpenIDM (通过REST)。类似地，您可以要求用户通过OpenIDM UI更改他们的密码，而不是直接针对AD。

如果没有这些选项中的任何一个，您可能不得不提出一个不依赖于将密码复制到不同系统的替代体系结构；本质上，您可以在需要时将身份验证委托给AD，将密码保留在该位置。OpenAM应该能够支持这样的计划。