Migrar as senhas do Linux para o Active Directory

O problema que vejo é que as senhas locais do Unix são hashes salgados. Eu não acho ActiveDirectory, e não há como obter de um hash salgado para uma senha de texto sem formatação. Para fazer isso, você deve essencialmente capturar a senha quando o usuário a digita e a valida contra o hash. Você pode fazer isso (pode ou não ser fácil), mas é errado em princípio.

Por que você está tão relutante em mudar as senhas? Eu investigaria isso primeiro, porque me parece que qualquer que seja a razão por trás dessa relutância, é provavelmente uma preocupação de segurança.

Isso parece impossível para mim também. É por isso que, para referência futura, as pessoas se esforçam muito na autenticação do Kerberos em caixas Linux, ou na compatibilidade de domínio do Windows com o Samba / Winbind. Ele corta esse problema pela raiz.

Portanto, se seus usuários já tiverem contas de domínio paralelas que não usam nas caixas Linux, o que seria mais fácil é o contrário: fazer com que a autenticação Kerberos subjacente ao AD funcione nas caixas Linux e alterar o PAM para priorizar a autenticação com AD / Curb antes dos subsistemas de autenticação local. Não tenho certeza se isso faz sentido, mas você tem esperança se isso for possível para você. Isso não é tão ruim quanto parece.