7

我正在与 Active Directory 搏斗,试图让它让我更改密码。我找到了大量有用的信息,但我仍然遇到持续错误。

一些代码:

import com.unboundid.ldap.sdk._
import com.unboundid.util.ssl._


def main(args: Array[String]) : Unit = {

var sslUtil = new SSLUtil( new TrustAllTrustManager() )
var con = new LDAPConnection(sslUtil.createSSLSocketFactory())
con.connect("ldap.example.net", 636)
con.bind("ldapadmin", "adminpasswd")
val newPass = "Jfi8ZH8#k".getBytes("UTF-16LE");
val modRequest = new ModifyRequest("dn: cn=Tester Dude,ou=Lab,ou=Org,ou=Provider,DC=example,DC=net",
  "changetype: modify",
  "replace: unicodePwd",
  "unicodePwd: " + '"' + newPass + '"')

println("\nGoing to try to set password to " + newPass + " with: " + modRequest.toString())

try {
  con.modify(modRequest)
} catch {
  case lde:LDAPException => println("failed LDAPException: " + lde.toString())
}

}

因此,我将此视为运行时错误:

将尝试将密码设置为 [B@6dd1627e:ModifyRequest(dn='cn=Tester Dude,ou=Lab,ou=Org,ou=Provider,DC=example,DC=net', mods={REPLACE unicodePwd} )

LDAPException 失败:LDAPException(resultCode=53(不愿执行),errorMessage='0000001F:SvcErr:DSID-031A11E5,问题 5003(WILL_NOT_PERFORM),数据 0',diagnosticMessage='0000001F:SvcErr:DSID-031A11E5,问题 5003(WILL_NOT_PERFORM ), 数据 0 ')

所以在我知道的事情中可能会导致这个错误:

  1. 不通过 SSL 连接。(这里不是这种情况,我已经检查了 100% 确定我使用 netstat 在端口 636 上)
  2. 传递违反 Active Directory 密码策略的密码。(我已经测试过手动设置该确切密码;它会拒绝短/简单密码,但它接受我在此代码中使用的密码)

我已经尝试过密码周围有和没有额外的引号。

迄今为止最有用的信息来源是:

http://www.dirmgr.com/blog/2010/8/26/ldap-password-changes-in-active-directory.html

但是我已经用尽了那里(以及许多其他地方)的所有建议。

我还尝试了其他几件事,包括为手动添加的不同有效用户设置密码。(这个也是通过 sdk 添加的。)

其他操作正常。我已经删除了不相关的代码,但我能够毫无问题地搜索、打印属性、添加和删除用户;但此修改请求失败。如果我将 ModifyRequest 设置为更改其他一些属性,例如关联的电子邮件,那也可以正常工作。

4

4 回答 4

11

连接不够安全

引用自:http: //support.microsoft.com/kb/269190

为了修改此属性,客户端必须与服务器建立 128 位安全套接字层 (SSL) 连接。

因此,即使其他一切看起来都正确,SvcErr: DSID-03190F4C, problem 5003 (WILL_NOT_PERFORM)如果连接被认为不安全,您仍然可能会得到一个。

缺乏管理员权限

如果您尝试在replace没有足够权限的情况下执行修改请求,则可能会失败。

dn: CN=johndoe,OU=Users,DC=example,DC=com
changetype: modify
replace: unicodePwd
unicodePwd:: base64(utf16le(quoted(password)))
-

在这种情况下你会得到一个SecErr: DSID-03150E47, problem 4003 (INSUFF_ACCESS_RIGHTS)。如果您尝试bind使用非特权帐户,则会发生这种情况。

密码历史

一些管理员喜欢拥有较长的密码历史记录(例如保存的最后 24 个密码)。CONSTRAINT_ATT_TYPE如果您使用已在历史记录中的旧密码,您将获得一个。

普通用户

  1. 保护连接

  2. 使用delete-add组合。

例如

dn: CN=johndoe,OU=Users,DC=example,DC=com
changetype: modify
delete: unicodePwd
unicodePwd:: base64(utf16le(quoted(old password)))
-
add: unicodePwd
unicodePwd:: base64(utf16le(quoted(new password)))
-
于 2014-08-05T00:28:36.240 回答
4

事实证明,它必须是 UTF-16LE 编码,然后转换为 base64。

val newPass = javax.xml.bind.DatatypeConverter.printBase64Binary(('"'+"Jfi8ZH8#k"+'"').getBytes("UTF-16LE"))

成功了。

于 2011-07-23T17:43:36.337 回答
1

我的猜测是"unicodePwd: " + '"' + newPass + '"'绕过你的编码(因为String必须再次转换为字节,我敢打赌它没有使用正确的编码)。

尝试使用接受Modification对象的 MofifyRequest 版本,然后使用将属性值作为bytes的构造函数。

val newPass = "\"Jfi8ZH8#k\"".getBytes("UTF-16LE")
// note the dquotes inside the string

val mod = new Modification(ModificationType.REPLACE, "unicodePwd", newPass)

就像在您链接到的博客文章中一样...

于 2011-07-23T04:03:28.990 回答
0

我也偶然发现了这个问题。我正在使用Novell.Directory.Ldap.NETStandardC# 库。我的问题是需要引用密码。这段代码对我有用:

var passwordBytes = Encoding.Unicode.GetBytes($"\"{newPassword}\"");
connection.Modify(userDn, new LdapModification(LdapModification.Replace, new LdapAttribute("unicodePwd", passwordBytes)));
于 2020-12-11T09:40:11.667 回答