1

我有这个脚本,通过它我可以更改我的 LDAP 密码,但我也想更改我的用户名或全名或电子邮件或电话号码。我怎样才能做到这一点?当我回显记录时,我只会得到我的姓名和电子邮件等信息,但是我需要做什么才能使 ldap_modify 更改我的全名或电话号码或电子邮件或用户 ID?

<?php
$server = "ldap://ldap";
$dn = "ou=People,DC=ssdfg,DC=sadad,DC=com";
$message = array();

function changePassword($server,$dn,$user,$oldPassword,$newPassword,$newPasswordCnf){
  global $message;

  error_reporting(0);

  $con=ldap_connect($server);
  ldap_set_option($con, LDAP_OPT_PROTOCOL_VERSION, 3);

  $findWhat = array ("cn","mail");
  $findWhere = $dn;
  $findFilter = "(uid=$user)";

  #bind anon and find user by uid
  $sr = ldap_search($con,$dn,$findFilter,$findWhat);
  $records = ldap_get_entries($con, $sr);
   echo "<pre>";print_r($records);
  /* error if found more than one user */
  if ($records["count"] != "1") {
    $message[] = "Error E100 - Wrong user.";
    return false; 
  }else {
    $message[] = "Found user <b>".$records[0]["cn"][0]."</b>";
  }

  /* try to bind as that user */
  if (ldap_bind($con, $records[0]["dn"], $oldPassword) === false) {
    $message[] = "Error E104 - Current password is wrong.";
    return false;
  }
  else { }

  if ($newPassword != $newPasswordCnf ) {
    $message[] = "Error E101 - New passwords do not match! ";
    return false;
  }
  if (strlen($newPassword) < 8 ) {
    $message[] = "Error E102 - Your new password is too short! ";
    return false;
  }
  if (!preg_match("/[0-9]/",$newPassword)) {
    $message[] = "Error E103 - Your password must contain at least one digit. ";
    return false;
  }
  if (!preg_match("/[a-zA-Z]/",$newPassword)) {
    $message[] = "Error E103 - Your password must contain at least one letter. ";
    return false;
  }


  /* change the password finally */
  $entry = array();
  $entry["userPassword"] = "{SHA}" . base64_encode( pack( "H*", sha1( $newPassword ) ) );
  if (ldap_modify($con,$records[0]["dn"],$entry) === false){
    $message[] = "E200 - Your password cannot be change, please contact the administrator.";
  }
  else { 
    $message[] = " Your password has been changed. "; 
    //mail($records[0]["mail"][0],"Password change notice : ".$user,"Your password has just been changed."); 
    } 
}  

?>
4

2 回答 2

1

将您的 $findwhat 变量更改为其中包含 *,您将获得执行搜索的帐户可以看到的所有用户属性。请注意,anonymous 可能看不到太多内容,当然也无法进行太多更新。我的建议是在您的目录中创建一个帐户,该帐户具有您需要的所有权限,并在该帐户下执行所有操作(当然,身份验证除外)。

修改其他属性只需将它们包含在 $entry 数组中即可。您需要使用正确的属性名称,但是在将 $findwhat 更改为 * 后将它们打印出来时会看到它们。

Apache Directory Studio 也是一个很好的免费目录处理工具。一件很酷的事情是,您可以查看搜索和修改日志,并查看它发送到目录的 ldif 操作。然后你可以在你的代码中复制它。

于 2011-12-16T18:00:03.007 回答
0

除非使用 ALL_ATTRIBUTES 值,否则必须请求属性,通常这是一个星号,但并非总是如此。目录服务器必须允许客户端检索值,并且userPassword通常仅限于具有更多权限的用户。

要修改属性值,请使用专有名称、属性和新值构造修改请求。

有几点需要注意:

  • 当服务器传输对请求的响应时,LDAP 客户端应检查响应控制。未能检查响应控件将导致 LDAP 客户端可能会丢失来自服务器的重要信息
  • 为什么这个客户端库 64 对密码进行编码?目录服务器不应接受预编码密码(服务器应配置为拒绝预编码密码),因为服务器无法对预编码密码执行密码质量和历史检查。由于这些和其他原因,传输预编码密码是一个糟糕的主意,所有客户端都应该拒绝这种做法。LDAP 客户端必须使用安全连接(SSL、TLS 或 ipsec)并以明文形式传输密码或使用外部 SASL 绑定请求。为了更好的安全性,请使用密码修改扩展请求,该请求需要现有密码,并且可以为用户生成密码。
  • 此客户端似乎无法响应来自服务器的主动通知。目录服务器可能会传输未经请求的扩展结果,也就是说,不是响应客户端请求。客户端必须能够处理这些通知,这些通知通常是服务器出于某种原因断开客户端的通知。

有关详细信息,请参阅“LDAP:编程实践”

于 2011-12-17T16:36:28.907 回答