3

我正在开发一个 Web 应用程序,让用户可以在 Active Directory 中重置自己的密码。我一直通过以管理员身份绑定来做到这一点,它工作正常,但没有强制执行目录策略(重用历史、字符等)。我无法以用户身份绑定,因为我没有当前密码。

我读到了 Windows 2008 R2 SP1 中引入的 LDAP_SERVER_POLICY_HINTS 控件,用于在 Active Directory 中执行此操作,甚至发现有人使用 Spring LDAP 进行操作

由于我使用的是 UnboundID 并且没有为此提供标准控件,因此我认为我必须创建自己的控件类。记录的 OID 是 1.2.840.113556.1.4.2239 和值 {48, 3, 2, 1, 1}

public class PolicyHintsControl extends Control {

    private static final long serialVersionUID = 1L;

    public final static String LDAP_SERVER_POLICY_HINTS_OID = "1.2.840.113556.1.4.2066";

    public final static byte[] LDAP_SERVER_POLICY_HINTS_DATA = { 48,
            (byte) 132, 0, 0, 0, 3, 2, 1, 1 };

    public PolicyHintsControl() {
        super(LDAP_SERVER_POLICY_HINTS_OID, false, new ASN1OctetString(
                LDAP_SERVER_POLICY_HINTS_DATA));
    }

    @Override
    public String getControlName() {
        return "LDAP Server Policy Hints Control";
    }

    @Override
    public void toString(StringBuilder buffer) {
        buffer.append("LDAPServerPolicyHints(isCritical=");
        buffer.append(isCritical());
        buffer.append(')');
    }
}

所以我在修改请求中添加了这个新控件,如下所示:

public static void main(String[] args) throws Exception {

    final String host = "ldap.example.com";
    final int port = 636;
    String adminDn = "admin@example.com";
    String adminPassword = "passwd";
    String userDn = "CN=user,ou=people,dc=example,dc=com";
    String userPassword = "passwd";
    String keystoreFile = "/path/to/keystore.jks";
    String keystorePassword = "passwd";

    String passwordAttribute = "unicodePwd";

    //Password change requires SSL
    KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
    keyStore.load(new FileInputStream(keystoreFile), keystorePassword.toCharArray());
    TrustManagerFactory factory = TrustManagerFactory.getInstance("x509");
    factory.init(keyStore);
    final SSLUtil sslUtil = new SSLUtil(factory.getTrustManagers());
    SSLSocketFactory socketFactory = sslUtil.createSSLSocketFactory();
    Debug.setEnabled(true);

    // Connect as the configured administrator
    LDAPConnection ldapConnection = new LDAPConnection(socketFactory, host,
            port, adminDn, adminPassword);
    // Set password in AD format
    final String newQuotedPassword = "\"" + userPassword + "\"";
    final byte[] newPasswordBytes = newQuotedPassword.getBytes("UTF-16LE");
    String encryptedNewPwd = new String(newPasswordBytes);
    //Build modifications array and request
    final ArrayList<Modification> modifications = new ArrayList<Modification>();
    modifications.add(new Modification(ModificationType.REPLACE,
            passwordAttribute, encryptedNewPwd));
    ModifyRequest modifyRequest = new ModifyRequest(userDn, modifications);
    //Add the policy hints control
    modifyRequest.addControl(new PolicyHintsControl());
    //Modify already
    ldapConnection.modify(modifyRequest);
    ldapConnection.close();
}

我得到以下异常:

Exception in thread "main" LDAPException(resultCode=53 (unwilling to perform), errorMessage='0000052D: SvcErr: DSID-031A120C, problem 5003 (WILL_NOT_PERFORM), data 0
        ', diagnosticMessage='0000052D: SvcErr: DSID-031A120C, problem 5003 (WILL_NOT_PERFORM), data 0
        ')

经过更多研究后,我发现 Windows 2012 中针对同一控件的另一个更新将 OID 更改为 1.2.840.113556.1.4.2066 并弃用了旧的 OID。

由于可以使用任何版本的 AD 配置此应用程序,因此我想优雅地处理每种情况(Windows 2012、Windows 2008 R2 SP1 等)。我的问题是:

  1. 有没有人用 UnboundID 成功地做到了这一点?
  2. 无论如何要知道在修改请求之前控件是否可用?
  3. 为同一控件处理不同版本的 AD 的不同 OID 的最佳方法是什么?同班还是不同班?
4

1 回答 1

4

我对 Microsoft 特定的控件不是很熟悉,所以我无法提供很多帮助,但看起来你已经走上了正确的轨道。在这种情况下,实际上看起来控件按预期工作,并且服务器拒绝密码,因为它不够强。

Active Directory 真的很糟糕,很难弄清楚这样的事情,但秘密在于诊断消息中给出的“0000052D”。这是对 Active Directory 系统错误代码 0x52D 的引用,即十进制 1325。系统错误代码记录在http://msdn.microsoft.com/en-us/library/windows/desktop/ms681381(v=vs.85 ).aspx,在这种情况下,您需要遵循“系统错误代码 (1300-1699)”链接 ( http://msdn.microsoft.com/en-us/library/windows/desktop/ms681385(v=vs ) .85).aspx) 并找到值 1325 的描述。该错误代码的文本显示“无法更新密码。为新密码提供的值不符合域的长度、复杂性或历史要求。” 由于您尝试使用的控制点似乎是使服务器对新密码执行质量检查,因此它看起来像预期的那样工作。如果您使用更强的密码(例如,使其更长,包括大写/数字/符号字符等),那么服务器可能会接受它。

关于您关于确定服务器支持哪些控件的问题,这样做的方法是检索服务器根 DSE 并查看supportedControls 属性中报告的OID。UnboundID LDAP SDK for Java 使这非常容易,因为您可以使用 LDAPConnection.getRootDSE 方法来检索根 DSE,然后使用 RootDSE.supportsControl 方法来确定服务器是否支持指定的控件。

关于您是否处理具有相同类或不同类的不同 OID 的问题,这更像是一个风格问题,而不是其他任何事情。如果具有较新 OID 的控件也对值使用不同的编码,那么这肯定会建议创建一个单独的类。如果两个 OID 的值编码相同,那么这可能是个人喜好问题,但即使您将它们设为单独的类,那么最好保持大部分代码通用而不是在两个不同的地方使用相同的代码.

于 2014-01-15T17:39:02.703 回答