Abra o local da senha do diretório e o método de criptografia

Navegue suas respostas
1

Histórico: gostaria de usar o Google Apps Directory Sync (GADS) para sincronizar contas de usuário e senhas de um Mac OS X Server (10.9) executando o Open Directory. O GADS é instalado em uma máquina virtual Ubuntu 12.04 LTS e configurado para sincronizar com êxito as contas de usuário do Mac OS X Server para o Google Apps. No entanto, estou percebendo que parece não ser possível sincronizar a senha do usuário no Open Directory.

Para sincronização de senha, o GADS exige o seguinte: Atributo de senha, Atributo de registro de data e hora da senha e Método de criptografia de senha. Os métodos de criptografia suportados são: SHA1, MD5, Base64, Plaintext.

Eu estava examinando o esquema LDAP do Open Directory usando o JXplorer e notei uma referência à authAuthority (Authentication Authority). Existem dois atributos LDAP rotulados authAuthority - um contém um valor para Kerberosv5 e o outro para ApplePasswordServer.

Do meu entendimento do Open Directory Administrators Guide: Ao contrário de outros diretórios LDAP, o OS X não armazena uma senha dentro do registro LDAP - ele usa um mecanismo "SASL" - ele consulta o atributo "AuthenticationAuthority" para determinar o local onde a senha do usuário pode ser recuperada.

Alguém pode confirmar minha avaliação? Além disso, se esse for o caso, você pode confirmar que isso me impediria de usar o GADS com base em seus requisitos? Há também um atributo "userPassword" que possui um valor: (dados não-string). O que isso poderia ser?

    
por sardean 20.11.2013 / 02:45

2 respostas

3

Não sei ao certo como isso funciona com as versões mais recentes do servidor do OS X, mas pelo menos até 10.6 isso estava correto. Eles estavam usando um servidor de senhas especial que tinha um banco de dados criptografado de senhas em vários formatos de hash que podiam ser consultados por todos os tipos de serviços (alguns deles especificamente modificados para isso, por exemplo, servidor Samba da Apple), mas era impossível obter as senhas fora disso, por exemplo para migrar para um servidor OpenLDAP "padrão".

Até onde eu sei, eles apenas diminuíram muito o servidor OS X em versões posteriores, mas a estrutura essencial permaneceu a mesma.

Eu não posso dizer nada sobre isso que possa estar relacionado ao GADS.

    
por 20.11.2013 / 02:58
0

Randy Saeks documentou como ele conseguiu usar logins e senhas do Open Directory com uma implantação do Google Apps for Education. Seu guia de integração está disponível em PDF aqui:

link

    
por 02.01.2014 / 03:50

Tags

Não registrou um computador com o controlador de domínio usando o powershell? Adicione dois discos à unidade lógica espelhada existente usando hpacucli