Я немного читал об атрибуте userPassword в AD и о том, как его можно установить в качестве псевдонима записи для unicodePwd.
Мы рассматриваем возможность перехода с OpenLDAP на AD. Я могу извлечь userPassword из OpenLDAP как соленую хешированную строку {ssha} blabla ... Мой вопрос: могу ли я затем установить этот пароль "как есть" в атрибуте userPassword AD с активированным псевдонимом записи и затем обновить его атрибут unicodePwd автоматически? Или поле userPassword ожидает, что пароли будут открытыми?
В принципе, есть ли способ перенести пароли пользователей из OpenLDAP в AD?
Я не верю, что это можно сделать из-за того, что хеш необратимый и соленый.
Обычно, даже между доменами AD, инструменты, которые делают это, перехватывают запрос на смену пароля на уровне контроллера домена и выполняют изменение в обоих доменах одновременно, это не выполняется посредством синхронизации фактических данных атрибутов LDAP.
Я бы посоветовал изучить альтернативы, такие как веб-интерфейс, в котором люди могли бы аутентифицироваться по старому LDAP, который мог бы получить пароль и установить его в AD, или что-то подобное.
Вы не можете внедрить хэш из OpenLDAP в AD и ожидать, что он заработает.