web-dev-qa-db-ja.com

オープンディレクトリのパスワードの場所と暗号化方法

背景:Google Apps Directory Sync(GADS)を使用して、OpenDirectoryを実行しているMacOS X Server(10.9)からユーザーアカウントとパスワードを同期したいと思います。 GADSはUbuntu12.04 LTS仮想マシンにインストールされ、Mac OS XServerからGoogleAppsにユーザーアカウントを同期するように正常に構成されています。ただし、OpenDirectoryからユーザーのパスワードを同期できない可能性があることに気づきました。

パスワード同期の場合、GADSには、パスワード属性、パスワードタイムスタンプ属性、およびパスワード暗号化方式が必要です。サポートされている暗号化方式は、SHA1、MD5、Base64、プレーンテキストです。

JXplorerを使用してOpenDirectory LDAPスキーマを調べていたところ、authAuthority(Authentication Authority)への参照に気づきました。 authAuthorityというラベルの付いた2つのLDAP属性があります。1つはKerberosv5の値を含み、もう1つはApplePasswordServerの値を含みます。

Open Directory管理者ガイドの私の理解から:他のいくつかのLDAPディレクトリとは異なり、OS XはLDAPレコード内にパスワードを保存せず、「SASL」メカニズムを使用します。「AuthenticationAuthority」属性にクエリを実行して、場所を特定します。ユーザーパスワードを取得できます。

誰かが私の評価を確認できますか?さらに、これが当てはまる場合、要件に基づいてGADSを使用できなくなることを確認できますか?値を持つ「userPassword」属性もあります:(文字列以外のデータ)。これは何でしょうか?

1
sardean

これが新しいOSXサーバーの亜種でどのように機能するかはわかりませんが、少なくとも10.6までは正しかったです。彼らは、さまざまなハッシュ形式のパスワードの暗号化されたデータベースを備えた特別なパスワードサーバーを使用していました。これは、すべてのタイプのサービス(Apple Sambaサーバーなど、これを行うために特別に変更されたものもあります)で照会できましたが、パスワードを取得できませんでした。それから、例えば「標準」のOpenLDAPサーバーに移行します。

私の知る限り、彼らは後のバージョンでOS Xサーバーを大幅にダウンさせましたが、基本的な構造は同じままでした。

GADSに関連するかもしれないことについては何も言えません。

3
Sven

Randy Saeksは、Google Apps forEducationの導入でOpenDirectoryのログインとパスワードをどのように使用できたかを文書化しました。彼の統合ガイドは、PDFここから:

http://rsaeks.wordpress.com/papers-and-presentations/

0
Rich Trouton