사용자 자격 증명을 저장하기 위해 Active Directory를 사용하여 클라우드 솔루션에 사용자 자격 증명을 저장하는 기존 소프트웨어 제품을 확장합니다..Active Directory 암호 포팅/데이터베이스 마이그레이션
사용자에게 암호 재설정을 요청하는 대신 이러한 AD 암호를 새 데이터베이스로 마이그레이션/포트하는 방법에 대해 궁금합니다. 우리가 일반 암호를 검색 할 수는 없지만 이러한 암호를 어떻게 포팅하고 특정 암호 해독 라이브러리를 사용하여 이러한 암호의 유효성을 검사 할 수 있는지 알고 싶습니다.
이 암호를 새 SQL 데이터베이스로 옮길 수는 있지만 암호를 어떻게 확인합니까? 어떤 암호화 알고리즘과 소금을 사용할 것입니까?
는
감사합니다, 나는 하나의 도메인으로 여러 개의 Active Directory 포리스트를 통합하는 고객과 작업이 달의 대부분을 보냈다. Microsoft는 표준 Microsoft 유틸리티 (ADMT (Active Directory Migration Tool) v3 및 Exchange Server 2003 배포 도구 중 하나 인 Exchange 마이그레이션 마법사)와 같은 타사 도구를 사용하지 않았지만 업무를 수행하는 것처럼 보입니다.
새 계정으로 새 계정으로 수백 명의 사용자를 마이그레이션하면 많은 수의 지원 요청이 발생하므로 ADMT 암호 마이그레이션 DLL을 사용하려고합니다. 이것은 시간이 좀 걸렸지 만, 엔터프라이즈 지원 동료 (효과적으로 PSS 통화)의 도움을 받아 방법을 찾았습니다. 이 요구되었다 무엇 :
Make sure that there is a trust in place between the source and target domains.
Install ADMT by running admtsetup.exe and follow the installation wizard on the computer that will be used for the migration (I used a domain controller in the source domain but ideally you would have dedicated computers for migration activities and it seems logical that this should be in the target domain).
If not already created by ADMT, create a new domain local group called domainname$$$. This group must be empty, and is required in order to migrate the sIDHistory information between source and target accounts.
On the domain controller that will be used to export the account information (usually the DC holding the PDC Emulator operations master role for the source domain), create/set a value of 1 for a DWORD registry key called TcpipClientSupport in HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\.
In both the source and target domains, ensure that success and failure auditing is enabled for account management.
On a computer with ADMT installed, create a password encryption key for each source domain, by shelling out to a command prompt and entering the following commands:
cd %systemroot%\ADMT
admt key /option:create /sourcedomain:<em>domainname</em> /keyfile:<em>filename</em>.pes
(the domainname can be specified in NetBIOS or DNS format.)
On the domain controller in the source domain that holds the PDC Emulator operations master role, connect to the computer with ADMT installed (e.g. via the c$ administration share) and access the %systemroot%\ADMT\PES folder.
Run pwdmig.exe to install the ADMT Password Migration DLL and follow the installation wizard. During the installation, supply the password encryption (.PES) file that was created earlier.
This is the step that’s not in the instructions – even though the password encyption file was supplied during the installation of the ADMT Password Migration DLL, it still needs to be imported manually on the PDC Emulator, by shelling out to a command prompt and entering the following commands:
cd %systemroot%\ADMT
admt key /option:import /sourcedomain:<em>domainname</em> /keyfile:<em>filename</em>.pes
On the domain controller that will be used to export the account information, create/set a value of 1 for a DWORD registry key called AllowPasswordExport in HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\. Note that this key constitutes a security risk and should only be enabled during the period of migration.
Restart the computer with the ADMT Password Migrator DLL installed.
Start the Password Export Server service.
대부분이 문서와 동일합니다. 가장 큰 차이점은 수동으로 암호 암호화 파일을 가져와야한다는 것입니다. 이 메시지가 없으면 다음 메시지가 나타납니다.
오류 암호 내보내기 서버와 세션을 설정할 수 없습니다. 원본 암호 내보내기 서버와 대상 서버의 원본 도메인에 대해 동일한 암호화 키가 없습니다.
마지막으로 필요한 사용 권한은 무엇입니까? Password Export Server 서비스에 로컬 시스템을 사용했습니다. 그 외 모든 경우에 대해 동일한 암호를 사용하여 두 포리스트에서 생성 된 계정을 사용했으며 Domain Admins 그룹의 구성원이었습니다. 이는 다소 과도하며 권장되는 최소 권한을 가진 계정을 사용하는 것이 좋습니다. 기본적으로 다음 계정이 필요합니다.
Domain administrator in the source domain.
Local administrator on the computer on which ADMT is installed.
Delegated permissions on OUs that are targets for resource migration in the target domain, including the extended right to Migrate SID History (visible in the Security for an object using the Advanced Features view in Active Directory Users and Computers).
자세한 내용은 ADMT v3 마이그레이션 가이드를 참조하십시오.
다른 LDAP 도메인 또는 다른 것으로 마이그레이션하는 것에 대해 이야기하는 것이 아니라 새로운 암호 데이터베이스를 새 SQL 데이터베이스로 마이그레이션하는 것입니다. 이 암호를 새 데이터베이스로 옮길 수는 있지만 암호를 검증하려면 어떻게해야합니까? 어떤 암호화 알고리즘과 소금을 사용할 것입니까? – anonmys