Назад | Перейти на главную страницу

Расположение пароля Open Directory и метод шифрования

Справочная информация: я хотел бы использовать Google Apps Directory Sync (GADS) для синхронизации учетных записей пользователей и паролей с Mac OS X Server (10.9), на котором запущен Open Directory. GADS установлен на виртуальной машине Ubuntu 12.04 LTS и успешно настроен для синхронизации учетных записей пользователей с Mac OS X Server с Google Apps. Однако я понимаю, что, возможно, невозможно синхронизировать пароль пользователей из Open Directory.

Для синхронизации паролей GADS требуется следующее: атрибут пароля, атрибут отметки времени пароля и метод шифрования пароля. Поддерживаемые методы шифрования: SHA1, MD5, Base64, Plaintext.

Я изучал схему LDAP Open Directory с помощью JXplorer и заметил ссылку на authAuthority (Authentication Authority). Есть два атрибута LDAP, помеченных authAuthority: один содержит значение для Kerberosv5, а другой - для ApplePasswordServer.

Насколько я понимаю из Руководства администратора Open Directory: в отличие от некоторых других каталогов LDAP, OS X не хранит пароль внутри записи LDAP - он использует механизм «SASL» - он запрашивает атрибут «AuthenticationAuthority», чтобы определить место, где пароль пользователя можно получить.

Кто-нибудь может подтвердить мою оценку? Кроме того, если это так, можете ли вы подтвердить, что это помешает мне использовать GADS в соответствии с его требованиями? Также существует атрибут «userPassword» со значением: (не строковые данные). Что это могло быть?

Я не уверен, как это работает с более новыми вариантами сервера OS X, но по крайней мере до 10.6 это было правильно. Они использовали специальный сервер паролей, который имел зашифрованную базу паролей в различных хэш-форматах, которые могли запрашиваться всеми типами сервисов (некоторые из них специально модифицированы для этого, например, сервер Apple Samba), но получить пароли было невозможно. из него, например чтобы перейти на "стандартный" сервер OpenLDAP.

Насколько мне известно, в более поздних версиях сервер OS X просто сильно упал, но основная структура осталась прежней.

Я не могу ничего сказать о том, что это может относиться к GADS.

Рэнди Сэкс задокументировал, как ему удалось использовать логины и пароли Open Directory в развертывании Google Apps for Education. Его руководство по интеграции доступно в формате PDF здесь:

http://rsaeks.wordpress.com/papers-and-presentations/