У меня много ящиков, в которых все локальные учетные записи пользователей. Мы хотим начать объединять их в систему Active Directory. (Я знаю ... Я знаю ... Это должен быть Active Directory, а не openldap, kerberos или что-то в этом роде) Я ищу способ не только переместить учетные записи, но, что наиболее важно, переместить пароли, которые уже зашифрованы.
Существуют ли какие-либо библиотеки PAM или другие типы скриптов, которые можно использовать для простого перехода от одной установки к другой?
Проблема, которую я вижу, заключается в том, что локальные пароли unix - это соленые хэши. Я не думаю, что ActiveDirectory работает, и нет никакого способа перейти от соленого хеша к паролю в виде открытого текста. Для этого вам нужно будет, по сути, обнюхивать пароль, когда пользователь вводит его, и проверять его на соответствие хешу. Вы можете это сделать (это может быть, а может быть, и нелегко), но в принципе это неправильно.
Почему вы так неохотно меняете пароли? Я бы сначала исследовал это, потому что мне кажется, что какая бы ни была причина такого нежелания, это, вероятно, проблема безопасности.
Мне это тоже кажется невозможным. Вот почему в будущем люди прикладывают много усилий для проверки подлинности Kerberos на ящиках Linux или для полной совместимости домена Windows с Samba / Winbind. Он пресекает эту проблему в зародыше.
Итак, если у ваших пользователей уже есть параллельные учетные записи домена, которые они не используют в ящиках Linux, было бы проще сделать обратное: получить аутентификацию Kerberos, которая лежит в основе AD для работы с ящиками Linux, и изменить PAM, чтобы установить приоритет аутентификации с помощью AD / Обуздайте локальные подсистемы аутентификации. Не уверен, что это имеет смысл, но у вас есть надежда, если это возможно. Это не так плохо, как кажется.