Je me demande dans quel format je dois mettre les hashs pour écrire sur mot de passe utilisateur via LDAP. Apache Directory Studio me donne plusieurs options, mais je ne pense pas qu'aucune d'entre elles soit la bonne. Quelqu'un peut-il documenter l'encodage et les algorithmes appropriés utilisés par défaut pour AD 2003r2 ?
Réponses
Trop de publicités?
Vous ne pouvez pas écrire les hachages de mots de passe dans l'Active Directory via LDAP. Vous pouvez mise à jour de l'attribut "unicodePwd". via LDAP sur SSL. (Si vous n'utilisez pas SSL, vous obtiendrez en retour l'erreur 0x80072035 "The server is unwilling to process the request").
Il n'y a pas de mécanisme "supporté" pour écrire des hachages bruts dans le répertoire, cependant.
Handyman5
Points
5087
Cet article de la KB indique que vous pouvez écrire le mot de passe sous la forme d'une chaîne d'octets unicode (du mot de passe en clair) sur le disque dur de l'utilisateur. unicodePwd attribut. Il est décrit pour Windows 2000, mais pour autant que je sache, cela n'a pas changé.
Cet article de blog inclut un script Perl qui implémente le processus, et que vous pouvez consulter pour plus de détails. Voici un autre exemple en Java.
Je pense que le mot de passe utilisateur est un alias de l'attribut unicodePwd mais je ne sais pas vraiment si c'est vrai.
Note : Vous devez utiliser une connexion SSL à LDAP pour mettre à jour le mot de passe d'un utilisateur ; AD n'autorisera pas les mises à jour de mot de passe sur un canal non crypté.
