te tényleg nem vagy tájékozott az AD-vel integrálódás terén.
Nem vagyok tájékozott az AD-val integrálódás terén. De te látom igen. Szóval itt a feladat:
Adott egy protokoll, amiben egy NTLM hash formájában érkezik a jelszava a júzernek. Nem opció, hogy clear textet kérünk, nem opció, hogy kerberosozunk, mert egy szál NTLM hash van csak (ha nincs kenyerük, miért nem esznek kalácsot, ugye). Persze üzemeltethetnénk jelszófeltörő backendet is, ami előállítja a hashből a clear textet, de gondolom ezt a megoldást rögtön elvethetjük.
Hogyan veszed rá az AD-t, hogy az NTLM hash alapján megmondja, hogy a felhasználó jelszava helyes-e? Alternatívaként persze az is elég, ha jó LDAP backendként kiszolgáltatja a felhasználó NTLM hashét, és akkor majd az alkalmazás elvégzi a string összehasonlítás műveletét...
Ja, és nem kell elmagyarázni, hogy ez úgy nem biztonságos, ahogy van, hiszen az NTLM jelen esetben clear text ekvivalens a rossz fiúk kezében. Az üzleti elvárás ugyanis kőkemény: bármiféle további konfigurálás nélkül üzemelnie kell tudnia már meglevő, régesrég megírt szoftvereknek is, amik pontosan ennyit tudnak alapbeállításokkal. és nem többet.