背景:Google Apps Directory Sync(GADS)を使用して、OpenDirectoryを実行しているMacOS X Server(10.9)からユーザーアカウントとパスワードを同期したいと思います。 GADSはUbuntu12.04 LTS仮想マシンにインストールされ、Mac OS XServerからGoogleAppsにユーザーアカウントを同期するように正常に構成されています。ただし、OpenDirectoryからユーザーのパスワードを同期できない可能性があることに気づきました。
パスワード同期の場合、GADSには、パスワード属性、パスワードタイムスタンプ属性、およびパスワード暗号化方式が必要です。サポートされている暗号化方式は、SHA1、MD5、Base64、プレーンテキストです。
JXplorerを使用してOpenDirectory LDAPスキーマを調べていたところ、authAuthority(Authentication Authority)への参照に気づきました。 authAuthorityというラベルの付いた2つのLDAP属性があります。1つはKerberosv5の値を含み、もう1つはApplePasswordServerの値を含みます。
Open Directory管理者ガイドの私の理解から:他のいくつかのLDAPディレクトリとは異なり、OS XはLDAPレコード内にパスワードを保存せず、「SASL」メカニズムを使用します。「AuthenticationAuthority」属性にクエリを実行して、場所を特定します。ユーザーパスワードを取得できます。
誰かが私の評価を確認できますか?さらに、これが当てはまる場合、要件に基づいてGADSを使用できなくなることを確認できますか?値を持つ「userPassword」属性もあります:(文字列以外のデータ)。これは何でしょうか?
これが新しいOSXサーバーの亜種でどのように機能するかはわかりませんが、少なくとも10.6までは正しかったです。彼らは、さまざまなハッシュ形式のパスワードの暗号化されたデータベースを備えた特別なパスワードサーバーを使用していました。これは、すべてのタイプのサービス(Apple Sambaサーバーなど、これを行うために特別に変更されたものもあります)で照会できましたが、パスワードを取得できませんでした。それから、例えば「標準」のOpenLDAPサーバーに移行します。
私の知る限り、彼らは後のバージョンでOS Xサーバーを大幅にダウンさせましたが、基本的な構造は同じままでした。
GADSに関連するかもしれないことについては何も言えません。
Randy Saeksは、Google Apps forEducationの導入でOpenDirectoryのログインとパスワードをどのように使用できたかを文書化しました。彼の統合ガイドは、PDFここから: