Действительно ли возможно мигрировать далеко от ActiveDirectory?
LDAP является превосходной иерархической объектно-ориентированной памятью. Вещи, которые могли быть сделаны со значением ключа или реляционным хранилищем, но потребуют большего количества питания. Вот почему это является большим для каталога. authdb просто, оказывается, вырожденная форма каталога.
There is an option in AD for storing password with reversible encryption that you can turn on, which will allow you to decrypt the passwords. That being said, I would never ever want to pay money for a product or service that stores passwords in a reversible or portable format and I fully expect that you would fail any audits if you have this turned on.
It's irresponsible, in my opinion, to store user passwords in a reversible manner using any system. You should weigh the pros and cons and make a decision before you put any authentication mechanism into production.
This is quite doable, though somewhat... shady in the tools. Extracting password hashes is fairly simple, there are a variety of gray-market tools that'll do just that. Once you have those hashes, the existence of things like L0phtcrack and John the Ripper are strong evidence that the Windows password-hashing mechanism has been fully documented and is fully predictable.
Side note: part of the reason that Windows passwords are vulnerable to Rainbow Tables in a way that other password systems aren't is that Windows doesn't salt the hash.
If you can completely replicate the hashing process of Windows, you should be able to re-use the dumped hashes as the basis of an authentication system; all without actually decrypting the passwords. I just don't know of a product that does so.
Алгоритм хеширования для AD вполне может быть предсказуемым и повторяемым, но он плохо документирован. Так что я не знаю, есть ли у вас какой-либо способ сделать это таким образом. Я бы посоветовал изучить миграцию из Active Directory в OpenLDAP. Бэкэнд для OpenLDAP гораздо лучше документирован. Затем вы могли бы использовать это в качестве промежуточного шага к реализации того, что вы хотите сделать.
Думаю, еще один вопрос, который я задам, - что заставит вас отойти от AD? Если это затраты на лицензирование или общее пренебрежение к продуктам Microsoft, создайте приложение по-другому для начала. Я бы посоветовал вам построить его так, как вы собираетесь продолжать. Реконструкция после того, как продукт будет запущен, не вызовет у вас ничего, кроме душевной боли,
sounds like a pretty tough task. maybe you can find something in the samba documentation http://www.samba.org/samba/docs/man/Samba-Developers-Guide/pwencrypt.html
вы можете использовать тот же алгоритм в своем новом бэкэнде, чтобы вы могли использовать зашифрованные пароли
Похоже, вы хотите установить что-то, чтобы перехватить изменения пароля пользователя в AD и сохранить их в другом месте. Что-то вроде passwdhk может захватить pw и делать с ним все, что вы хотите (хранить его в незашифрованном виде или в каком-либо обратимом виде, очевидно, плохая идея).
Вы можете взглянуть на sha1hexfltr Это используется для копирования паролей AD в виде хэшей SHA1 в атрибут пользователя AD (несоленый в общедоступном атрибуте AD, что является проблемой. IMHO, angrytechnician имеет некоторые идеи по этому поводу.
Я не понимаю, как возможен «погрузчик» из AD во что-то еще (ну, легко) - вам потребуется, чтобы одновременно работала другая система, чтобы заполнить данные аутентификации, поскольку пользователи, аутентифицированные в AD, по крайней мере.