Мне интересно, в каком формате мне нужно помещать хэши для записи пользовательский пароль через LDAP. Apache Directory Studio дает мне несколько вариантов, но я не думаю, что они подходят. Может ли кто-нибудь задокументировать правильную кодировку и алгоритмы, используемые по умолчанию для AD 2003r2?
Вы не можете записывать хэши паролей в Active Directory через LDAP. Ты можешь обновить атрибут unicodePwd через LDAP через SSL. (Если вы не используете SSL, вы получите сообщение об ошибке «Сервер не желает обрабатывать запрос» 0x80072035).
Однако не существует «поддерживаемого» механизма для записи необработанных хэшей в каталог.
Эта статья в базе знаний указывает, что вы можете записать пароль в виде строки октета Unicode (пароля в виде открытого текста) для пользователя unicodePwd атрибут. Это описано для Windows 2000, но, насколько мне известно, не изменилось.
Это сообщение в блоге включает Perl-скрипт, который реализует процесс, и в котором вы можете найти более подробную информацию. Вот еще пример в Java.
я думаю пользовательский пароль атрибут - это псевдоним для unicodePwd, но я не знаю, правда ли это.
Примечание: Вы должны использовать SSL-соединение с LDAP для обновления пароля пользователя; AD не разрешит обновление паролей по незашифрованному каналу.