0

我正在设置一个 OpenIDM 服务器,用于在我的公司管理的 OpenDJ 商店和将由客户公司管理的 Active Directory 商店之间同步数据。

目标是不需要将任何东西安装到客户端的 AD 实例。这在大多数情况下都可以正常工作,但我无法让密码在两者之间同步。

我找到了密码同步指南,但这需要一个 Active Directory 插件(和一个 OpenDJ 插件,但这不是问题)。

是否可以建立一个系统,我们可以通过 OpenIDM 在 OpenDJ 商店中存储用户帐户的密码,而不需要这样的插件?

如果我们不能更改密码,只能读取密码,这是可以接受的,但我们需要密码才能通过 OpenAM 设置登录。

4

1 回答 1

1

直接在 AD 中更改的密码经过哈希处理,因此无法以明文形式恢复。您能够从 AD 获取明文密码(以便在其他地方提供)的唯一方法是在散列之前涉及其他一些系统。例如,在 AD 服务器上安装 AD 密码插件将拦截更改事件并将明文密码发送到 OpenIDM(通过 REST)。同样,您可以要求用户通过 OpenIDM UI 更改密码,而不是直接针对 AD。

如果缺少这些选项中的任何一个,您可能不得不提出一种替代架构,该架构不依赖于将密码复制到不同的系统;本质上,您可以在需要时将身份验证委托给 AD,将密码留在那个位置。OpenAM 应该能够支持这样的方案。

于 2015-09-18T16:44:55.127 回答