Synchronisation via openIDM sans utiliser de plugin Active Directory?

Question

Je suis en train de mettre en place un serveur OpenIDM qui synchronise les données entre un magasin OpenDJ géré par mon entreprise et un magasin Active Directory qui va être géré par une entreprise cliente.

L'objectif est de ne rien exiger pour être installé sur l'instance AD ​​du client. Cela fonctionne très bien pour la plupart, mais je n'arrive pas à synchroniser les mots de passe entre les deux.

J'ai trouvé the guide pour la synchronisation de mot de passe, mais cela nécessite un plugin Active Directory (et un plugin OpenDJ, mais ce n'est pas un problème).

Est-il possible de configurer un système dans lequel on peut stocker le mot de passe d'un compte d'utilisateur dans le magasin OpenDJ via OpenIDM sans ayant besoin d'un tel plugin?

Il serait acceptable si nous ne pouvons pas changer le mot de passe, seulement le lire, mais nous avons besoin du mot de passe pour configurer la connexion via OpenAM.

Answer 1

Les mots de passe modifiés directement dans AD sont hachés et, par conséquent, irrécupérables en tant que texte clair. La seule façon pour vous d'obtenir le mot de passe en clair de AD (afin de le provisionner ailleurs) est d'impliquer un autre système avant qu'il ne soit hashé. Par exemple, l'installation du plugin AD Password sur le serveur AD interceptera l'événement change et enverra le mot de passe en clair à OpenIDM (via REST). De même, vous pouvez demander aux utilisateurs de changer leur mot de passe via l'interface utilisateur OpenIDM plutôt que directement contre AD. En deçà de l'une ou l'autre de ces options, vous devrez probablement créer une architecture alternative qui ne repose pas sur la copie du mot de passe sur des systèmes différents; Essentiellement, vous pouvez déléguer l'authentification à AD lorsque cela est nécessaire, en laissant le mot de passe à cet emplacement. OpenAM devrait être capable de supporter un tel système.