Active属性

Question

我了解了AD中userPassword属性的主题，以及如何将其设置为unicodePwd的写别名。

我们正在考虑从OpenLDAP转移到AD。我可以将userPassword从OpenLDAP中提取为咸散列{ssha}blabla.我的问题是，我是否可以在AD的userPassword属性中设置这个密码“原样”，并激活写别名，然后自动更新unicodePwd属性？还是userPassword字段期望密码清空？

基本上，我是否可以将用户密码从OpenLDAP传输到AD？

Answer 1

我不相信这是可以做到的，因为哈希是不可逆的，而且是咸的。

通常，即使在AD域之间，执行此操作的工具在域控制器级别截获密码更改请求并同时在两个域上执行更改，而不是通过实际LDAP属性数据的同步来完成。

我建议研究一些替代方案，比如web接口，人们可以使用旧的LDAP进行身份验证，它可以获取密码并在AD中设置密码，或者类似的东西。

Answer 2

您不能将散列从OpenLDAP注入到AD，并期望它正常工作。