Keine Ahnung. Aber ich wäre da eh ein wenig vorsichtig, Paßwörter so
eines alten Systems migrieren zu wollen ohne vorher zu prüfen, in
welcher Form sie vorliegen.

Hintergrund: Paßwörter werden ja nicht im Klartext gespeichert sondern
in irgendeiner hoffentlich sinnvoll verschlüsselten Form, bspw. als RSA-
oder eben auch (3)DES-Hashes. Je älter/schwächer der eingesetzte
Verschlüsselungsalgorithmus, desto leichter/schneller ist so ein Paßwort
zu knacken. Dafür gibt's simple Utilities wie bspw. John the Ripper, um
den prominentesten zu nennen: <http://www.openwall.com/john/>.

Da man aus so einem Hash nicht einfach das Klartextpaßwort extrahieren
kann (sondern nur das Paßwort gegen den Hash auf Übereinstimmung prüfen
kann), kann man also auch nicht einfach aus einem DES-Hash einen
RSA-Hash generieren. Das geht nur, indem man das Paßwort im Klartext
kennt (bspw. indem man den ollen DES-Hash schnell per Wörterbuch und
wenn das nichts bringt, eben brute force crackt) und einen neuen
sicheren Hash mit zeitgemäßem Algorithmus erzeugt.

D.h. unbedingt prüfen, was da in 10.3 benutzt wurde. MacOS X Server
kennt wie viele andere Produkte auch irgendwelche Fallback-Maßnahmen,
d.h. übernimmt bei einer Migration ggf. die Paßwörter in einem längst
nicht mehr als sicher geltenden Format (bspw. eben so ein DES-Hash).
Diese "alten" Paßwörter stecken dann neben heutigen Standards
entsprechenden Paßwörtern im OD. Und ein Angreifer hat leichtes Spiel
(BTDT, allerdings im Kundenauftrag, um einen Account wieder zu
"entsperren")

Diese Speicherung von Paßwörtern im Fallback-Format ist ein beliebtes
Einfallstor (bspw. wurden in älteren MacOS X Versionen die Paßwörter
parallel zu einer relativ sicheren Variante auch in einem damals schon
supersimpel knackbaren Format gespeichert, _wenn_ Windows-Filesharing
aktiviert war. Einfach damit der Samba-Server die Paßwörter im passenden
Format vorliegen hatte.)

Wenn die Paßwörter in 10.3 Server schon allesamt als SHA1-Hashes
vorgelegen haben sollten, dann könnte sich eine Migration lohnen (per
Skripting: Unter 10.3 wohl per nicl auslesen, unter 10.6 dann per dscl
wieder einspielen)

Andernfalls das Ganze als "Paßworthygiene" ansehen bzw. dem Kunden
verkaufen: Jedem User ein Dummy-Paßwort vergeben und sie nötigen, sich
entweder mit dem alten anzumelden bzw. wenn die Gefahr bestand, daß
diese alten Paßwörter zu simpel waren (oder weil zu komplex per Post-It
am Monitor klebten) sinnvolle neue vorgeben. Dabei bspw. über
"pronounceable passwords" nachdenken, also Paßwörter, die hinreichend
komplex sind, daß sie in keinem Wörterbuch auftauchen, d.h. immun gegen
relativ simple "dictionary attacks" sind, dabei aber trotzdem für ein
Normalhirn merkbar bleiben.

Beispielhaft mal 10 mit je 10 Stellen -- auf die Schnelle per GPW.jar
(läuft auch auf dem Mac, d.h. kann prima dazu genutzt werden, dem User
Paßwortvorschläge zu machen, aus denen er dann eines für sich simpel
merkbares auswählen kann):

lonancerat
ealissadeu
ckrantedop
omenitylec
atracialli
itangnerst
etrionimon
deffigedic
epianespit
ancephoxid

Bzgl. Details einfach mal nach Folgendem bspw. googlen:

dscl AuthenticationAuthority sha

Gruss,

Thomas