Запишите пароль хеша в LDAP при создании нового пользователя
Ответ на это будет также зависеть от конфигурации Вашей среды Citrix, конкретно с точки зрения безопасности. Понятно Вы не можете хотеть взгляд на эти машины.
Если перенаправление диска включено, сделали, чтобы пользователь скопировал в документ назад их локальному ПК. Рассмотрение этого является довольно очевидной опцией, я предположил бы, что это не включено в Citrix.
Подключите сетевой диск на сервере Citrix, который также отображается на локальных рабочих станциях. Можно использовать этот диск скопировать файлы назад и вперед или написать сценарий решения сделать это.
Используйте сценарий в сочетании с blat.exe для пользования электронной почтой файла при необходимости. В этом сценарии Вы создали бы новую функцию щелчка правой кнопкой под, Отправляют К-> Моя электронная почта. Со сценарием Вы могли сделать, чтобы пользователь ввел адрес электронной почты, к которому они хотели отправить, и он мог отправить через доступный smtp сервер.
Я не включаю блеять сценарий, поскольку это является довольно прямым и вероятно нуждалось бы в модификации для Вашей среды. http://www.blat.net/
Что касается Word отправляют как вложение единственная опция, о которой я мог думать, должен будет установить Outlook Express как исходящую установку только. Идеально это должно быть просто отключено через GPO, но я не могу найти ту опцию.
Надежда это помогает Вам.
Поскольку вы используете OpenLDAP, если у вас есть совместимый хешированный формат (и здесь ), вы можете ввести хеш напрямую в атрибут userPassword . Позаботьтесь о том, чтобы некоторые клиенты LDAP могли предположить изменения в userPassword и применить хеширование (аналогично тому, как некоторые серверы LDAP автоматически изменяют или хешируют этот атрибут при записи). ldapadd / ldapmodify будет правильно обновлять пароль без его повторной интерпретации (если у вас нет действующей политики паролей сервера ppolicy_hash_cleartext , что может усложнить ситуацию).
Вам нужно будет определить формат, который у вас есть, и префикс хеша или хеша + соли с типом типа, например {SHA} xxxxxx или {SSHA} xxxxxx (где xxxxxx - это хэш в кодировке base64 или хеш + соль соответственно).
Если это формат crypt , вы можете ввести его с префиксом {crypt} , но в случае OpenLDAP вам понадобится сборка, сконфигурированная с - enable-crypt , поскольку его использование устарело. OpenLDAP будет использовать функцию библиотеки C crypt () , в ее выводе могут быть вариации, специфичные для платформы . В Linux есть простой обходной путь: crypt () находится в собственной libcrypt библиотеке, которую вы можете «настроить» во время компиляции или выполнения. (Также обратите внимание, что crypt () не является реентерабельным, поэтому slapd использует мьютекст для защиты вызовов к нему.) s crypt формат, вы можете ввести его с префиксом {crypt} , но в случае OpenLDAP вам понадобится сборка, настроенная с - enable-crypt , поскольку его использование не рекомендуется. OpenLDAP будет использовать функцию библиотеки C crypt () , в ее выводе могут быть вариации, специфичные для платформы . В Linux есть простой обходной путь: crypt () находится в собственной libcrypt библиотеке, которую вы можете «настроить» во время компиляции или выполнения. (Также обратите внимание, что crypt () не является реентерабельным, поэтому slapd использует мьютекст для защиты вызовов к нему.) s crypt формат, вы можете ввести его с префиксом {crypt} , но в случае OpenLDAP вам понадобится сборка, настроенная с - enable-crypt , поскольку его использование не рекомендуется. OpenLDAP будет использовать функцию библиотеки C crypt () , в ее выводе могут быть вариации, специфичные для платформы . В Linux есть простой обходной путь: crypt () находится в собственной libcrypt библиотеке, которую вы можете «настроить» во время компиляции или выполнения. (Также обратите внимание, что crypt () не является реентерабельным, поэтому slapd использует мьютекст для защиты вызовов к нему.) так как его использование устарело. OpenLDAP будет использовать функцию библиотеки C crypt () , в ее выводе могут быть вариации, специфичные для платформы . В Linux есть простой обходной путь: crypt () находится в собственной libcrypt библиотеке, которую вы можете «настроить» во время компиляции или выполнения. (Также обратите внимание, что crypt () не является реентерабельным, поэтому slapd использует мьютекст для защиты вызовов к нему.) так как его использование устарело. OpenLDAP будет использовать функцию библиотеки C crypt () , в ее выводе могут быть вариации, специфичные для платформы . В Linux есть простой обходной путь: crypt () находится в собственной libcrypt библиотеке, которую вы можете «настроить» во время компиляции или выполнения. (Также обратите внимание, что crypt () не является реентерабельным, поэтому slapd использует мьютекст для защиты вызовов к нему.)
См. Также password-crypt-salt-format для решения проблемы в другом направлении: заставить OpenLDAP хранить пароли в различных криптографических форматах.
Поскольку вы используете Samba, вам следует также изучить smbk5pwd оверлей ( README более полезен). Обратите внимание, что для этого требуется изменение пароля, чтобы использовать правильную операцию изменения пароля , а не прямую модификацию userPassword .
С OpenLDAP у вас также есть возможность делегировать проверку пароля пользователю внешняя система через SASL (также требует нестандартной конфигурации сборки), чего может быть достаточно во время окна миграции, пока все пользователи не сбросят свои пароли. Еще один вариант (который часто бывает неожиданным) заключается в том, что OpenLDAP также поддерживает несколько паролей для каждого пользователя, каждый из которых проверяется по очереди во время аутентификации. Хотя он немного хрупок (он требует, чтобы все авторы атрибута userPassword выполняли The Right Thing ), он может помочь при миграции, особенно при объединении нескольких систем.