我正在与Active Directory进行斗争,试图让它允许我更改密码。我已经找到了大量有用的信息,但我仍然会遇到一个持续的错误。
部分代码:
import com.unboundid.ldap.sdk._
import com.unboundid.util.ssl._
def main(args: Array[String]) : Unit = {
var sslUtil = new SSLUtil( new TrustAllTrustManager() )
var con = new LDAPConnection(sslUtil.createSSLSocketFactory())
con.connect("ldap.example.net", 636)
con.bind("ldapadmin", "adminpasswd")
val newPass = "Jfi8ZH8#k".getBytes("UTF-16LE");
val modRequest = new ModifyRequest("dn: cn=Tester Dude,ou=Lab,ou=Org,ou=Provider,DC=example,DC=net",
"changetype: modify",
"replace: unicodePwd",
"unicodePwd: " + '"' + newPass + '"')
println("nGoing to try to set password to " + newPass + " with: " + modRequest.toString())
try {
con.modify(modRequest)
} catch {
case lde:LDAPException => println("failed LDAPException: " + lde.toString())
}
}
所以,我得到这是一个运行时错误:
将尝试将密码设置为[B@6dd1627e,带有:ModifyRequest(dn='cn=Tester Dude,ou=Lab,ou=Org,ou=Provider,DC=example,DC=net',mods={REPLACE unicodePwd}(
LDAPException失败:LDAPExcession(resultCode=53(不愿意执行(,errorMessage='0000001F:SvcErr:DSID-031A11E5,问题5003(WILL_NOT_perform(,数据0',diagnosticMessage='0000001F:SvcErr:DSID-031A11E5,问题5003(WILL_NOT_PERFORM(,数据0'(
因此,在我所知道的可能导致这个错误的事情中:
- 未通过SSL连接。(这里的情况并非如此,我已经使用netstat检查了是否100%确定我在636端口上(
- 传递违反Active Directory密码策略的密码。(我已经测试过手动设置确切的密码;它会拒绝短/简单密码,但它接受我在这段代码中使用的密码(
我试过在密码周围加引号和不加引号。
迄今为止最有用的信息来源是:
http://www.dirmgr.com/blog/2010/8/26/ldap-password-changes-in-active-directory.html
但我已经用尽了那里(以及许多其他地方(的每一个建议。
我还尝试了其他一些方法,包括为手动添加的另一个有效用户设置密码。(这个也是通过sdk添加的。(
其他操作运行良好。我删除了不相关的代码,但我可以搜索、打印属性、添加和删除用户,没有任何问题;但是该修改请求失败。如果我将ModifyRequest设置为更改其他一些属性,例如关联的电子邮件,也可以正常工作。
连接不够安全
报价来源:http://support.microsoft.com/kb/269190
为了修改此属性,客户端必须具有到服务器的128位安全套接字层(SSL(连接。
因此,即使其他一切看起来都是正确的,如果连接被认为是不安全的,您仍然可能得到SvcErr: DSID-03190F4C, problem 5003 (WILL_NOT_PERFORM)
。
缺少管理权限
如果您尝试在没有足够权限的情况下执行replace
,则修改请求可能会失败。
dn: CN=johndoe,OU=Users,DC=example,DC=com
changetype: modify
replace: unicodePwd
unicodePwd:: base64(utf16le(quoted(password)))
-
在这种情况下,您将获得SecErr: DSID-03150E47, problem 4003 (INSUFF_ACCESS_RIGHTS)
。如果您尝试使用无特权帐户bind
,就会发生这种情况。
密码历史记录
有些管理员喜欢有很长的密码历史记录(例如最近保存的24个密码(。如果您使用的是历史记录中已有的旧密码,则会得到一个CONSTRAINT_ATT_TYPE
。
普通用户
保护连接
使用
delete
-add
组合。
例如
dn: CN=johndoe,OU=Users,DC=example,DC=com
changetype: modify
delete: unicodePwd
unicodePwd:: base64(utf16le(quoted(old password)))
-
add: unicodePwd
unicodePwd:: base64(utf16le(quoted(new password)))
-
事实证明,它必须经过UTF-16LE编码,然后转换为base64。
val newPass = javax.xml.bind.DatatypeConverter.printBase64Binary(('"'+"Jfi8ZH8#k"+'"').getBytes("UTF-16LE"))
成功了。
我的猜测是"unicodePwd: " + '"' + newPass + '"'
绕过了您的编码(因为String
必须再次转换为字节,我敢打赌它没有使用正确的编码(。
尝试使用接受Modification
对象的MofifyRequest版本,然后使用将属性值作为字节的构造函数。
val newPass = ""Jfi8ZH8#k"".getBytes("UTF-16LE")
// note the dquotes inside the string
val mod = new Modification(ModificationType.REPLACE, "unicodePwd", newPass)
就像你链接到的博客文章中一样…
我也偶然发现了这个问题。我正在为C#使用Novell.Directory.Ldap.NETStandard
库。在我的案例中,问题是需要引用密码。这个代码对我有效:
var passwordBytes = Encoding.Unicode.GetBytes($""{newPassword}"");
connection.Modify(userDn, new LdapModification(LdapModification.Replace, new LdapAttribute("unicodePwd", passwordBytes)));