第 6 章 安装、更新和卸载密码同步服务
要在 Active Directory 和 Red Hat Directory Server 之间同步密码,您必须使用密码密码同步服务。本章介绍有关密码同步服务功能以及如何安装、更新和删除它的信息。
6.1. 了解密码同步服务的工作方式
当您设置密码与 Active Directory 同步时,Directory 服务器会检索用户对象的所有属性,但密码除外。Active Directory 只存储加密密码,但目录服务器使用不同的加密。因此,Directory 服务器必须加密 Active Directory 用户密码。
要启用 Active Directory 和 Directory Server 之间的密码同步,Red Hat Directory Password Sync 服务 hook 最多会修改 DC 的 Windows 密码。如果用户或者管理员设置或更新密码,该服务在加密并存储在 Active Directory 中之前以纯文本检索密码。这个过程使 Red Hat Directory 密码 Sync 将纯文本密码发送到 Directory 服务器。为了保护密码,该服务仅支持 LDAPS 连接到目录服务器。当 Directory 服务器将密码存储在用户的条目中时,会使用目录服务器中配置的密码存储方案自动加密密码。
重要
在 Active Directory 中,所有可写 DC 都可以处理密码操作。因此,您必须在 Active Directory 域中的每个可写 DC 上安装 Red Hat Directory 密码同步。